【技术实现步骤摘要】
本专利技术涉及计算机科学,具体的是一种基于多分区自适应触发的模型版权保护方法及系统。
技术介绍
1、随着深度学习技术的快速发展,深度神经网络(dnn)已广泛应用于计算机视觉、自然语言处理、模式识别等多个领域。训练一个高性能的深度神经网络模型需要大量的标注数据、昂贵的计算资源以及领域专家的知识,但是,由于模型的开放性和易于复制的特性,盗版者可能会非法复制或重新分发这些高质量的模型,从而侵犯模型的知识产权。因此,针对深度神经网络模型的版权保护显得尤为重要,确保原创者的知识产权得到有效维护,并防止未经授权的使用和滥用。
2、为了增强dnn模型的版权保护,研究者提出了多种水印方法,这些方法通过将水印信息嵌入模型中,以便在发生侵权行为时提取水印并验证模型所有权。现有的水印方法通常分为两类:白盒水印和黑盒水印。白盒水印要求验证者能够访问模型的详细结构和参数,而黑盒水印则通过与模型交互来验证水印,在无法访问模型内部的情况下更具隐蔽性和实用性,因此在实际应用中得到了广泛采用。然而,黑盒水印依然面临一些挑战,特别是在如何有效防止盗版者通过交互方式提取水印并规避保护方面。
技术实现思路
1、为解决上述
技术介绍
中提到的不足,本专利技术的目的在于提供一种基于多分区自适应触发的模型版权保护方法及系统。
2、第一方面,本专利技术的目的可以通过以下技术方案实现:一种基于多分区自适应触发的模型版权保护方法,方法包括以下步骤:
3、获取标记类样本集和正常类样本集,将标记类样本集输
4、对新数据集的标记类样本进行划分,得到多个分区,对于每个分区基于dpso算法进行迭代更新,得到全局最优触发位置和形状,获取原始图像,基于全局最优触发位置和形状对原始图像进行优化得到变换场;
5、将变换场对原始图像的触发器区域得到初步扭曲图像,采用双三次插值法将初步扭曲图像映射到原始图像的触发器区域,得到水印图像,利用水印图像对标记类样本进行水印嵌入,得到嵌入水印的标记样本;
6、将嵌入水印的标记样本输入至可疑模型内,输出得到可疑模型预测正确的标记样本数,基于预测正确的标记样本数和总嵌入水印的标记样本数计算得出水印精度,根据水印精度与预设阈值的比较结果对可疑模型进行判断,若水印精度大于预设阈值则为盗版模型,否则为正版模型。
7、结合第一方面,在第一方面的某些实现方式中,该方法还包括:所述标记类样本集和正常类样本集通过原始良性训练集采集,其中,为输入样本,为对应标签,n为数据集中的类别数;
8、,其中是标记类样本集,是正常类样本集。
9、结合第一方面,在第一方面的某些实现方式中,该方法还包括:所述新数据集的获取过程包括:
10、使用预训练编码器e提取标记类样本的特征,并应用高斯混合模型聚类算法gmm划分为k个分区,再对这k个子类分配标签n,n+1,…,n+k-1,并与非标记类样本合并,构建包含n+k-1个类别的新数据集
11、。
12、结合第一方面,在第一方面的某些实现方式中,该方法还包括:所述对新数据集的标记类样本进行划分的过程如下:
13、通过在新数据集上最小化交叉熵损失,训练得到代理模型,并利用代理模型辅助完成标记类样本的划分。
14、结合第一方面,在第一方面的某些实现方式中,该方法还包括:所述对于每个分区基于dpso算法进行迭代更新,得到全局最优触发位置和形状的过程:
15、首先,定义dpso算法的目标函数,包括:鼓励不同分区选择不同触发位置和形状的多样性项、选择不同触发位置和形状时,限制触发器的视觉隐蔽性项和选择不同触发位置和形状时,评估标记类验证成功率的训练损失项:
16、
17、其中,和为平衡不同项的超参数;
18、
19、其中,为衡量触发位置和形状在所有分区中的重复情况的惩罚函数,表示预定义的k个位置,表示预定义的m个不同的形状,和分别表示位置和形状在所有分区中的重复次数;
20、
21、其中,为衡量触发样本与原始样本之间差异的目标函数,表示标记类样本中第i个分区的原始样本,1/n为对所有样本进行平均的归一化因子,表示样本均值的计算方式,其中n是样本总数,表示触发样本与原始样本两者在欧几里得空间的平方距离;
22、
23、其中,为通过最小化触发图像的预测标签与水印标签的交叉熵ce损失,代表水印模型,其中为水印模型的参数。
24、对于每个分区,dpso算法会初始化粒子群,每个粒子包含位置、形状的优化参数,并在迭代过程中通过更新公式逐步调整参数,对于每个粒子i,其速度,位置和形状的更新公式分别为:
25、
26、
27、
28、其中,是惯性权重,和是加速系数,和是随机数,和是分别为粒子历史最佳位置和全局最佳位置;
29、对于位置,通过选择最近位置函数selectnearestposition函数来更新,其中选择最近位置函数selectnearestposition为从中选择与更新后的最接近的位置;对于形状,通过函数进行更新,指粒子计算所有形状的适应度值,并选择适应度值最小的形状来更新;
30、通过dpso的多次迭代更新,粒子群逐步收敛至全局最优触发位置和形状:
31、
32、其中,代表全局最优解,指通过最小化目标函数来找到的最优触发位置和形状的组合。
33、结合第一方面,在第一方面的某些实现方式中,该方法还包括:所述于全局最优触发位置和形状对原始图像进行优化得到变换场的过程如下:
34、选择大小为的均匀网格上的目标点,以此生成扭曲控制场:
35、
36、
37、其中,randtensor是返回随机张量的函数,r为生成的随机噪声,参数s控制p的强度,a是归一化函数,采用min-max归一化将数据线性映射到指定的范围:
38、
39、其中,min(r)表示r中的最小值,用于确定数据的下界,在归一化时将其作为基准值;max(r)表示r中的最大值,用于确定数据的上界,在归一化时定义数据的最大范围。
40、将p缩放至触发器大小得到变换场m0,根据dpso算法返回的最优触发器形状,对m0进行裁剪,最终得到m。
41、结合第一方面,在第一方面的某些实现方式中,该方法还包括:所述水印图像的获取过程如下:
42、对于原始图像的触发器区域,应用得到初步扭曲后的图像,即:
43、
44、通过下面公式来反推出在中对应的原位置:
45、
46、采用双三次插值法将映射到,最终得到水印图像pi。
47、结合本文档来自技高网...
【技术保护点】
1.一种基于多分区自适应触发的模型版权保护方法,其特征在于,方法包括以下步骤:
2.根据权利要求1所述的一种基于多分区自适应触发的模型版权保护方法,其特征在于,所述标记类样本集和正常类样本集通过原始良性训练集采集,其中,为输入样本,为对应标签,n为数据集中的类别数;
3.根据权利要求1所述的一种基于多分区自适应触发的模型版权保护方法,其特征在于,所述新数据集的获取过程包括:
4.根据权利要求1所述的一种基于多分区自适应触发的模型版权保护方法,其特征在于,所述对新数据集的标记类样本进行划分的过程如下:
5.根据权利要求1所述的一种基于多分区自适应触发的模型版权保护方法,其特征在于,所述对于每个分区基于DPSO算法进行迭代更新,得到全局最优触发位置和形状的过程:
6.根据权利要求1所述的一种基于多分区自适应触发的模型版权保护方法,其特征在于,所述于全局最优触发位置和形状对原始图像进行优化得到变换场的过程如下:
7.根据权利要求1所述的一种基于多分区自适应触发的模型版权保护方法,其特征在于,所述水印图像的获取过程如
8.根据权利要求1所述的一种基于多分区自适应触发的模型版权保护方法,其特征在于,所述利用水印图像对标记类样本进行水印嵌入的过程如下:
9.根据权利要求1所述的一种基于多分区自适应触发的模型版权保护方法,其特征在于,所述水印精度的计算过程如下:
10.一种基于多分区自适应触发的模型版权保护系统,采用了权利要求1至9中任一项所述的一种基于多分区自适应触发的模型版权保护方法,其特征在于,包括:
...【技术特征摘要】
1.一种基于多分区自适应触发的模型版权保护方法,其特征在于,方法包括以下步骤:
2.根据权利要求1所述的一种基于多分区自适应触发的模型版权保护方法,其特征在于,所述标记类样本集和正常类样本集通过原始良性训练集采集,其中,为输入样本,为对应标签,n为数据集中的类别数;
3.根据权利要求1所述的一种基于多分区自适应触发的模型版权保护方法,其特征在于,所述新数据集的获取过程包括:
4.根据权利要求1所述的一种基于多分区自适应触发的模型版权保护方法,其特征在于,所述对新数据集的标记类样本进行划分的过程如下:
5.根据权利要求1所述的一种基于多分区自适应触发的模型版权保护方法,其特征在于,所述对于每个分区基于dpso算法进行迭代更新,得到全局最优触发位置和形状的过程:...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。