使用指定概率操控的白盒对抗攻击进行 DNN 模型的所有权验证-计算机科学-机器学习-深度神经网络-对抗样本.pdfVIP

使用指定概率操控的白盒对抗攻击进行DNN

模型的所有权验证

TerukiSano

GraduateSchoolofInformationSciences

TohokuUniversity

Sendai,Japan

sano.teruki.r2@dc.tohoku.ac.jp

MinoruKuribayashiMasaoSakaiShujiIshobeEisukeKoizumi

CenterforData-drivenScienceandArtificialIntelligence

本TohokuUniversity

译Sendai,Japan

中kminoru@tohoku.ac.jp

2

v

9摘要—在本文中，我们提出了一种用于图像分类任务的深训练好的模型面临着被试图绕过模型开发所需的

7度神经网络（DNN）模型所有权验证的新框架。该框架允许合努力和成本的个人未经授权地挪用其参数和算法的风

5法所有者和第三方在不展示原始模型的情况下验证模型身份。我

7险。为对抗这种挪用行为，已经对深度神经网络水印技

1.们假设一种灰盒场景，其中未经授权的用户拥有的模型是从原始术和指纹识别技术进行了研究，以保护深度神经网络模

5模型非法复制而来的，在云环境中提供服务，用户投递图像并接

0收输出类别的概率分布作为分类结果。该框架应用了一种白盒对型[1],[2]的知识产权。深度神经网络水印技术是一种

5抗攻击方法，将特定类别的输出概率对齐到一个指定值。由于掌在训练阶段将特定信息嵌入到深度神经网络模型中的

2

:握了原始模型的知识，它使得所有者能够生成这样的对抗样本。技术，如内部结构和权重参数等。另一方面，深度神经

v

i我们提出了一种基于迭代快速梯度符号法（FGSM）并引入控网络指纹识别提取一些独特的模型属性，如决策边界作

x

r制参数的简单但有效的对抗攻击方法。实验结果证实了使用对抗为指纹。假设可以访问模型的内部结构和权重参数来进

a攻击识别DNN模型的有效性。

行验证是不太现实的。相反，假设水印/指纹将通过向

IndexTerms—对抗样本，深度神经网络（DNN），所有

疑似模型发送查询并接收响应来获取。在这种情况下，

权验证

水印/指纹反映了该模型在给定触发图像上的行为作为

后门。这种行为被视为所有权验证的标识符。在这两种

I.介绍

情况下，都是从疑似模型中通过查询提取标识符，然后

人工智能具备强大的信息处理能力和多功能性。在将其与原模型构建的标识符进行比较。这些所有权验证

其各种应用中，深度神经网络（DNN）被广泛应用，并方法存在两个主要缺点。一个是触发图像的数量有限，

且机器学习工具作为云计算服务提供，例如机器学习即因为它们是在深度神经网络模型训练期间预先确定的。

服务（MLaaS）。由于训练好的深