【技术实现步骤摘要】
本专利技术属于人工智能安全领域,涉及一种基于模型隐藏的所有权确认方法、设备及计算机可读介质,利用深度学习网络双向学习的能力,基于权重共享进行模型双向训练,并把反向模型作为后门,为正向模型嵌入水印,以确认模型的所有权。
技术介绍
1、模型水印技术使得人工智能模型所有者可以在其模型中嵌入不易察觉的标识符或水印,以便在模型遭到盗用或未经授权使用时能够追踪并声明所有权。模型水印技术的实现方式多样,包括在模型的训练数据中加入特定模式、在模型结构或训练过程中引入特定算法调整,或通过在模型训练完成后直接修改模型的权重或参数。这些水印的设计要求精巧,旨在确保它们在不显著影响模型的基本性能和准确性的情况下,能够持久地存储在模型中。尽管如此,这些水印方法可能面临被高级逆向工程技术检测和移除的风险,特别是在那些具有足够资源和技术能力的攻击者手中。并且,如果水印的嵌入过于微妙,它可能容易在模型微调或重训练过程中被无意中抹除。而且复杂的模型可能需要精确控制以保证水印的有效性和隐蔽性。
技术实现思路
1、为了克服现有技术的不足,本专利技术利用隐藏模型作为后门能够仅被模型所有者识别的特点,提出一种基于反向训练的隐藏模型作为模型水印的方法,使得模型的所有权可以被确认。
2、本专利技术所设计的一种基于模型隐藏的所有权确认方法,包括一下步骤:
3、步骤1,收集与项目目标相符的图像或情感分类文本数据集并进行预处理;
4、步骤2,构建空间索引,使数据集中每个图片具有唯一的索引表示;p>
5、步骤3,分析初始深度神经网络模型架构并设计转置模型架构,具体过程如下:
6、记录深度神经网络模型架构每层操作及其顺序,每层的权重矩阵;
7、将深度神经网络模型架构的层序列反转,转置每层的权重矩阵,得到转置模型架构,
8、转置后的模型操作包括:对于全连接层,使用转置权重进行矩阵乘法;卷积层,使用转置卷积;池化层,使用上采样;激活函数,保持不变或选择合适的激活函数;
9、深度神经网络模型的输入作为转置模型的输出,深度神经网络模型的输出作为转置模型的输入;
10、定义转置模型的记忆训练目标,即转置模型被训练来从其对应的空间索引生成特定样本,目标是最小化生成样本和期望样本之间的损失;
11、步骤4,基于权重共享对步骤3中的模型进行双向训练,直到模型训练完毕,转置模型隐藏于正向模型中,达到嵌入后门的效果。
12、进一步地,步骤1中利用数据增强方法扩大良性数据数据,所述增强方法包括但不限于图像仿射变换、添加噪声、颜色变换。
13、进一步地,数据集预处理包括对数据进行清洗,评估并处理异常值、缺失值,以及不一致的数据条目,确保数据的质量,并把数据进行归一化,最终确定模型训练的数据集;训练者根据需求选择模型架构,并合理地初始化模型权重,确定超参数设置,包括设置学习率、批量大小、训练周期数。
14、进一步地,所述步骤2中将模型中的项目转换为二进制编码,并与索引值对应,以此来完成索引存储在模型中的项目,并使用格雷码进行数据的编码,增加索引函数的域。
15、进一步地,将数据集中数据的类别信息编码为向量并将其加到索引值上,并采用随机嵌入映射到特定的类;在引入类别信息嵌入之后,设为数据集中所有类别的集合,定义类别嵌入函数为,将每个类别映射到一个唯一的向量属于,将每一个类的空间索引投影到它们对应的区域,对于存在类中的第项图片数据,定义完整的索引器,则得到唯一的索引表示:
16、
17、其中表示在类中的第项图片,表示第项图片投影在空间上的映射。
18、进一步地,步骤4中,在正向训练过程中,输入数据按照常规的监督学习任务准备,标签也对应于输入数据的预期输出,输入数据通过模型的各层前向传播,每一层根据其激活函数和当前权重处理数据,直到达到输出层;模型的输出与真实标签比较,通过交叉熵损失用于计算分类任务的预测误差;
19、使用随机梯度下降根据损失函数的梯度反向传播,更新模型的权重,以减少预测误差;
20、同时通过转置模型执行反向训练;
21、对于训练数据中的每个样本计算空间索引,使用记忆模型尝试重建样本,得到,计算重建样本和实际样本之间的损失,优化目标是最小化整个训练集上的总损失。
22、进一步地,所述步骤4中,在双向训练中,正向和反向任务共享模型的权重,模型在正向训练后,对正向模型的权重进行转置,得到权重,用作反向训练的起点,反向训练过程中的权重更新反映了模型在两个方向上学习的累积结果。
23、基于相同的专利技术构思,本专利技术还设计了一种电子设备,包括:
24、一个或多个处理器;
25、存储装置,用于存储一个或多个程序;
26、当一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现基于模型隐藏的所有权确认方法。
27、基于相同的专利技术构思,本专利技术还设计了一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现基于模型隐藏的所有权确认方法。
28、本专利技术的优点在于:
29、本专利技术针对深度学习模型会被进行模型提取攻击的问题,拟利用深度学习网络双向学习的能力为模型训练具有模型所有者才知道功能的反向模型,将该反向模型视作后门,为模型嵌入水印,从而达到模型所有权确认的目的。
30、1、结合多种数据增强技术获得可靠的规模相对大的扩充数据集。
31、2、构建空间索引,建立与样本的关联。引入空间索引概念,使用gray码进行数据编码,实现系统化样本检索,并通过减少编码差异降低错误率。通过密集映射和类别信息嵌入,实现高效信息压缩和类别聚类,提升模型的记忆和区分类别样本的能力。
32、3、进行模型架构转置,反转正向模型层次结构,并通过转置权重矩阵,实现模型在正向和反向训练中的权值共享。逆操作设计和记忆训练目标:设计每个层的逆操作,定义优化目标,通过最小化重建样本与实际样本之间的差异,训练模型准确记忆数据集。
33、4、基于权重共享的模型双向训练。同时进行正向和反向训练,确保模型在两个方向上的学习,并通过共享权重实现更新的累积效果。定义优化目标和嵌入后门:在正向训练中优化分类任务,在反向训练中优化记忆任务,通过双向训练和权重共享,将反向模型隐藏于正向模型中,实现后门嵌入。
本文档来自技高网...【技术保护点】
1.一种基于模型隐藏的所有权确认方法,其特征在于,包括一下步骤:
2.根据权利要求1所述的基于模型隐藏的所有权确认方法,其特征在于:步骤1中利用数据增强方法扩大良性数据数据,所述增强方法包括图像仿射变换、添加噪声和颜色变换。
3.根据权利要求1所述的基于模型隐藏的所有权确认方法,其特征在于:数据集预处理包括对数据进行清洗,评估并处理异常值、缺失值,以及不一致的数据条目,并把数据进行归一化,最终确定模型训练的数据集;训练者根据需求选择模型架构,并合理地初始化模型权重,确定超参数设置,包括设置学习率、批量大小和训练周期数。
4.根据权利要求1所述的基于模型隐藏的所有权确认方法,其特征在于:所述步骤2中将模型中的项目转换为二进制编码,并与索引值对应,将索引存储在模型中的项目,并使用格雷码进行数据的编码,增加索引函数的域。
5.根据权利要求1所述的基于模型隐藏的所有权确认方法,其特征在于:将数据集中数据的类别信息编码为向量并将其加到索引值上,并采用随机嵌入映射到特定的类;在引入类别信息嵌入之后,设为数据集中所有类别的集合,定义类别嵌入函数为
6.根据权利要求1所述的基于模型隐藏的所有权确认方法,其特征在于:步骤4中,在正向训练过程中,输入数据按照常规的监督学习任务准备,标签也对应于输入数据的预期输出,输入数据通过模型的各层前向传播,每一层根据其激活函数和当前权重处理数据,直到达到输出层;模型的输出与真实标签比较,通过交叉熵损失用于计算分类任务的预测误差;
7.根据权利要求1所述的基于模型隐藏的所有权确认方法,其特征在于:所述步骤4中,在双向训练中,正向和反向任务共享模型的权重,模型在正向训练后,对正向模型的权重进行转置,得到权重,用作反向训练的起点。
8.一种电子设备,其特征在于,包括:
9.一种计算机可读介质,其上存储有计算机程序,其特征在于:所述程序被处理器执行时实现如权利要求1-7中任一所述的基于模型隐藏的所有权确认方法。
...【技术特征摘要】
1.一种基于模型隐藏的所有权确认方法,其特征在于,包括一下步骤:
2.根据权利要求1所述的基于模型隐藏的所有权确认方法,其特征在于:步骤1中利用数据增强方法扩大良性数据数据,所述增强方法包括图像仿射变换、添加噪声和颜色变换。
3.根据权利要求1所述的基于模型隐藏的所有权确认方法,其特征在于:数据集预处理包括对数据进行清洗,评估并处理异常值、缺失值,以及不一致的数据条目,并把数据进行归一化,最终确定模型训练的数据集;训练者根据需求选择模型架构,并合理地初始化模型权重,确定超参数设置,包括设置学习率、批量大小和训练周期数。
4.根据权利要求1所述的基于模型隐藏的所有权确认方法,其特征在于:所述步骤2中将模型中的项目转换为二进制编码,并与索引值对应,将索引存储在模型中的项目,并使用格雷码进行数据的编码,增加索引函数的域。
5.根据权利要求1所述的基于模型隐藏的所有权确认方法,其特征在于:将数据集中数据的类别信息编码为向量并将其加到索引值上,并采用随机嵌入映射到特定的类;在引入类别信息嵌入之后...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。