論文の概要: Entangled Watermarks as a Defense against Model Extraction
- arxiv url: http://arxiv.org/abs/2002.12200v2
- Date: Fri, 19 Feb 2021 15:07:24 GMT
- ステータス: 処理完了
- システム内更新日: 2022-12-28 09:06:59.177033
- Title: Entangled Watermarks as a Defense against Model Extraction
- Title(参考訳): モデル抽出に対する防御としての絡み合った透かし
- Authors: Hengrui Jia, Christopher A. Choquette-Choo, Varun Chandrasekaran,
Nicolas Papernot
- Abstract要約: Entangled Watermarking Embeddings (EWE)は、機械学習モデルをExtraction攻撃から保護するために使用される。
EWEは、タスク分布とウォーターマークをエンコードするデータからサンプリングされたデータを分類する機能を学ぶ。
MNIST、Fashion-MNIST、CIFAR-10、Speech Commandsの実験では、ディフェンダーは95%の信頼性でモデルの所有権を主張でき、100以上のクエリを盗まれている。
- 参考スコア(独自算出の注目度): 42.74645868767025
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Machine learning involves expensive data collection and training procedures.
Model owners may be concerned that valuable intellectual property can be leaked
if adversaries mount model extraction attacks. As it is difficult to defend
against model extraction without sacrificing significant prediction accuracy,
watermarking instead leverages unused model capacity to have the model overfit
to outlier input-output pairs. Such pairs are watermarks, which are not sampled
from the task distribution and are only known to the defender. The defender
then demonstrates knowledge of the input-output pairs to claim ownership of the
model at inference. The effectiveness of watermarks remains limited because
they are distinct from the task distribution and can thus be easily removed
through compression or other forms of knowledge transfer.
We introduce Entangled Watermarking Embeddings (EWE). Our approach encourages
the model to learn features for classifying data that is sampled from the task
distribution and data that encodes watermarks. An adversary attempting to
remove watermarks that are entangled with legitimate data is also forced to
sacrifice performance on legitimate data. Experiments on MNIST, Fashion-MNIST,
CIFAR-10, and Speech Commands validate that the defender can claim model
ownership with 95\% confidence with less than 100 queries to the stolen copy,
at a modest cost below 0.81 percentage points on average in the defended
model's performance.
- Abstract(参考訳): 機械学習には、高価なデータ収集とトレーニング手順が含まれる。
モデル所有者は、敵がモデル抽出攻撃をマウントすれば、貴重な知的財産が漏洩する可能性がある。
有意な予測精度を犠牲にすることなくモデル抽出を防御することは難しいため、ウォーターマーキングは使用されていないモデルの容量を活用して、モデルの出力対を上回らせる。
このようなペアはウォーターマークであり、タスク分布からサンプリングされず、ディフェンダーにのみ知られている。
ディフェンダーは、推論時にモデルの所有権を主張するために入出力ペアの知識を示す。
ウォーターマークの有効性は、タスク分散と異なるため、圧縮やその他の知識転送によって容易に取り除くことができるため、まだ限られている。
本稿ではEWE(Entangled Watermarking Embeddings)を紹介する。
提案手法では,タスク分布と透かしを符号化したデータからサンプリングしたデータを分類するための特徴を学習する。
正当データに絡み合った透かしを削除しようとする敵も、正当データのパフォーマンスを犠牲にする。
MNIST、Fashion-MNIST、CIFAR-10、Speech Commandsの実験では、ディフェンダーは、盗難コピーに対する100問未満のクエリで、平均0.81ポイント未満のコストで、95%の信頼性でモデルの所有権を主張できることを確認した。
関連論文リスト
- Explanation as a Watermark: Towards Harmless and Multi-bit Model Ownership Verification via Watermarking Feature Attribution [22.933101948176606]
バックドアベースのモデル透かしは、リリースされたモデルにそのような特性を埋め込む、プライマリおよび最先端の方法である。
特徴属性の説明に検証動作を埋め込む新しい透かしパラダイムである$i.e.$, Explanation as a Watermark (EaaW) を設計する。
論文 参考訳(メタデータ) (2024-05-08T05:49:46Z) - Who Leaked the Model? Tracking IP Infringers in Accountable Federated Learning [51.26221422507554]
Federated Learning (FL) は、大規模で分散したクライアントからのデータと計算リソースを調整する効果的な協調学習フレームワークである。
このようなコラボレーションは、個々のユーザではなく、パーティー全体によって保護され、共有されるべきモデルパラメータによって表現される非自明な知的財産(IP)をもたらす。
このようなIPリークをブロックするためには、IPを共有モデルで識別し、最初にリークした匿名の侵害者を特定することが不可欠である。
本稿では,説明責任FLの要件を満たすために,Dudeable Unique Watermarking (DUW)を提案する。
論文 参考訳(メタデータ) (2023-12-06T00:47:55Z) - ClearMark: Intuitive and Robust Model Watermarking via Transposed Model
Training [50.77001916246691]
本稿では,人間の直感的な評価を目的とした最初のDNN透かし手法であるClearMarkを紹介する。
ClearMarkは目に見える透かしを埋め込んで、厳格な値閾値なしで人間の意思決定を可能にする。
8,544ビットの透かし容量は、現存する最強の作品に匹敵する。
論文 参考訳(メタデータ) (2023-10-25T08:16:55Z) - Towards Robust Model Watermark via Reducing Parametric Vulnerability [57.66709830576457]
バックドアベースのオーナシップ検証が最近人気となり,モデルオーナがモデルをウォーターマークすることが可能になった。
本研究では,これらの透かし除去モデルを発見し,それらの透かし挙動を復元するミニマックス定式化を提案する。
本手法は,パラメトリックな変化と多数のウォーターマーク除去攻撃に対するモデル透かしの堅牢性を向上させる。
論文 参考訳(メタデータ) (2023-09-09T12:46:08Z) - On Function-Coupled Watermarks for Deep Neural Networks [15.478746926391146]
本稿では,透かし除去攻撃に対して効果的に防御できる新しいDNN透かし法を提案する。
私たちの重要な洞察は、透かしとモデル機能の結合を強化することです。
その結果,アグレッシブ・ウォーターマーク除去攻撃による100%透かし認証の成功率を示した。
論文 参考訳(メタデータ) (2023-02-08T05:55:16Z) - Defending against Model Stealing via Verifying Embedded External
Features [90.29429679125508]
トレーニングサンプルがなく、モデルパラメータや構造にアクセスできない場合でも、敵はデプロイされたモデルを盗むことができる。
我々は、不審なモデルがディフェンダー特定遠近法の特徴の知識を含んでいるかどうかを検証することによって、他の角度からの防御を探索する。
本手法は, 複数段階の盗難処理によって盗難モデルが得られた場合でも, 同時に異なる種類の盗難モデルを検出するのに有効である。
論文 参考訳(メタデータ) (2021-12-07T03:51:54Z) - Dataset Inference: Ownership Resolution in Machine Learning [18.248121977353506]
盗難モデルの訓練セットに含まれる知識は 全ての盗難コピーに共通しています
疑わしいモデルコピーが元のモデルのデータセットからプライベートな知識を持っているかどうかを識別するプロセスである$dataset$ $inferenceを紹介します。
CIFAR10、SVHN、CIFAR100、ImageNetの実験では、モデル所有者はモデル(または実際にデータセット)が盗まれたと99%以上の自信を持って主張できる。
論文 参考訳(メタデータ) (2021-04-21T18:12:18Z) - Removing Backdoor-Based Watermarks in Neural Networks with Limited Data [26.050649487499626]
ディープモデルの取引は、今日では非常に需要が高く、利益を上げている。
ナイーブ・トレーディング・スキームは 一般的に 著作権と信頼性の問題に関連する 潜在的なリスクを伴います
WILDと呼ばれる限られたデータを用いたバックドア型透かし除去フレームワークを提案する。
論文 参考訳(メタデータ) (2020-08-02T06:25:26Z) - Model Watermarking for Image Processing Networks [120.918532981871]
深層モデルの知的財産権を保護する方法は、非常に重要であるが、真に研究されていない問題である。
画像処理モデルを保護するための最初のモデル透かしフレームワークを提案する。
論文 参考訳(メタデータ) (2020-02-25T18:36:18Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。