論文の概要: SoK: How Robust is Image Classification Deep Neural Network Watermarking? (Extended Version)

• arxiv url: http://arxiv.org/abs/2108.04974v1
• Date: Wed, 11 Aug 2021 00:23:33 GMT
• ステータス: 処理完了
• システム内更新日: 2021-08-12 19:56:23.787769
• Title: SoK: How Robust is Image Classification Deep Neural Network Watermarking? (Extended Version)
• Title（参考訳）: SoK: ディープニューラルネットワークの透かし画像分類はどのようにロバストか? (拡張版)
• Authors: Nils Lukas, Edward Jiang, Xinda Li, Florian Kerschbaum
• Abstract要約: 我々は,最近提案された,ロバスト性を主張する透かし方式が,大規模な除去攻撃に対して堅牢であるか否かを評価する。 調査されたウォーターマーキングスキームのいずれも、実際のデータセットでは堅牢ではない。 我々は,より現実的な敵モデルを用いて,より広範囲にわたる除去攻撃に対して,透かし方式を評価する必要があることを示す。
• 参考スコア（独自算出の注目度）: 16.708069984516964
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Deep Neural Network (DNN) watermarking is a method for provenance verification of DNN models. Watermarking should be robust against watermark removal attacks that derive a surrogate model that evades provenance verification. Many watermarking schemes that claim robustness have been proposed, but their robustness is only validated in isolation against a relatively small set of attacks. There is no systematic, empirical evaluation of these claims against a common, comprehensive set of removal attacks. This uncertainty about a watermarking scheme's robustness causes difficulty to trust their deployment in practice. In this paper, we evaluate whether recently proposed watermarking schemes that claim robustness are robust against a large set of removal attacks. We survey methods from the literature that (i) are known removal attacks, (ii) derive surrogate models but have not been evaluated as removal attacks, and (iii) novel removal attacks. Weight shifting and smooth retraining are novel removal attacks adapted to the DNN watermarking schemes surveyed in this paper. We propose taxonomies for watermarking schemes and removal attacks. Our empirical evaluation includes an ablation study over sets of parameters for each attack and watermarking scheme on the CIFAR-10 and ImageNet datasets. Surprisingly, none of the surveyed watermarking schemes is robust in practice. We find that schemes fail to withstand adaptive attacks and known methods for deriving surrogate models that have not been evaluated as removal attacks. This points to intrinsic flaws in how robustness is currently evaluated. We show that watermarking schemes need to be evaluated against a more extensive set of removal attacks with a more realistic adversary model. Our source code and a complete dataset of evaluation results are publicly available, which allows to independently verify our conclusions.
• Abstract（参考訳）: ディープニューラルネットワーク(Deep Neural Network, DNN)は、DNNモデルの証明検証手法である。 透かしは、証拠検証を回避する代理モデルをもたらす透かし除去攻撃に対して堅牢であるべきである。 堅牢性を主張している多くの透かしスキームが提案されているが、その頑健性は比較的小さな攻撃に対して単独でのみ検証されている。 これらの主張に対する体系的かつ実証的な評価は、共通の包括的な削除攻撃に対するものではない。 透かし方式の堅牢性に関する不確実性は、実際にその展開を信頼することの難しさを引き起こす。 本稿では,最近提案された透かし方式が,大規模な除去攻撃に対して頑健であることを示す。 我々は, (i) 除去攻撃が知られていること, (ii) 代理モデルに由来するが除去攻撃として評価されていないこと, (iii) 新規除去攻撃について文献から調査した。 ウェイトシフトとスムーズリトレーニングは,本論文で調査したDNN透かし方式に適応した新規な除去攻撃である。 透かしと除去攻撃のための分類法を提案する。 実験評価としては,cifar-10およびimagenetデータセットの各攻撃および透かしスキームのパラメータセットに関するアブレーション研究を含む。 意外なことに、測量された透かしはどれも実際は堅牢ではない。 提案手法は, 適応攻撃に耐えられず, 除去攻撃として評価されていないサロゲートモデルを導出する方法が知られている。 これは、現在の堅牢性の評価に固有の欠陥を指摘する。 我々は,より現実的な敵モデルを用いて,より広範な除去攻撃に対して,透かし方式を評価する必要があることを示す。 ソースコードと評価結果の完全なデータセットが公開されており、その結果を独立して検証することができる。

関連論文リスト

• Robustness of Watermarking on Text-to-Image Diffusion Models [9.277492743469235]
  本稿では,透かし埋め込みとテキスト・ツー・イメージ・ジェネレーション処理を統合することで生成する透かしの堅牢性について検討する。 生成型透かし法は, 識別器による攻撃やエッジ予測に基づく攻撃のエッジ情報に基づく操作など, 直接回避攻撃に対して堅牢であるが, 悪意のある微調整には脆弱であることがわかった。
  論文  参考訳（メタデータ） (2024-08-04T13:59:09Z)
• Certifiably Robust Image Watermark [57.546016845801134]
  ジェネレーティブAIは、偽情報やプロパガンダキャンペーンの促進など、多くの社会的懸念を提起する。 ウォーターマークAI生成コンテンツは、これらの懸念に対処するための重要な技術である。 本報告では, 除去・偽造攻撃に対するロバスト性保証を保証した最初の画像透かしを提案する。
  論文  参考訳（メタデータ） (2024-07-04T17:56:04Z)
• Towards Robust Model Watermark via Reducing Parametric Vulnerability [57.66709830576457]
  バックドアベースのオーナシップ検証が最近人気となり,モデルオーナがモデルをウォーターマークすることが可能になった。 本研究では,これらの透かし除去モデルを発見し,それらの透かし挙動を復元するミニマックス定式化を提案する。 本手法は,パラメトリックな変化と多数のウォーターマーク除去攻撃に対するモデル透かしの堅牢性を向上させる。
  論文  参考訳（メタデータ） (2023-09-09T12:46:08Z)
• Safe and Robust Watermark Injection with a Single OoD Image [90.71804273115585]
  高性能なディープニューラルネットワークをトレーニングするには、大量のデータと計算リソースが必要である。 安全で堅牢なバックドア型透かし注入法を提案する。 我々は,透かし注入時のモデルパラメータのランダムな摂動を誘導し,一般的な透かし除去攻撃に対する防御を行う。
  論文  参考訳（メタデータ） (2023-09-04T19:58:35Z)
• Exploring Structure Consistency for Deep Model Watermarking [122.38456787761497]
  Deep Neural Network(DNN)の知的財産権(IP)は、代理モデルアタックによって簡単に盗まれる。 本稿では,新しい構造整合モデルウォーターマーキングアルゴリズムを設計した新しい透かし手法,すなわち構造整合性'を提案する。
  論文  参考訳（メタデータ） (2021-08-05T04:27:15Z)
• Evaluating the Robustness of Trigger Set-Based Watermarks Embedded in Deep Neural Networks [22.614495877481144]
  最先端のトリガーセットベースの透かしアルゴリズムは、所有権を証明するという設計目標を達成することができない。 本稿では,対象モデルの基盤となる透かしアルゴリズムに対する敵の知識を活用する新しい適応攻撃を提案する。
  論文  参考訳（メタデータ） (2021-06-18T14:23:55Z)
• Reversible Watermarking in Deep Convolutional Neural Networks for Integrity Authentication [78.165255859254]
  整合性認証のための可逆透かしアルゴリズムを提案する。 可逆透かしを埋め込むことが分類性能に及ぼす影響は0.5%未満である。 同時に、可逆的な透かしを適用することでモデルの完全性を検証することができる。
  論文  参考訳（メタデータ） (2021-04-09T09:32:21Z)
• Fine-tuning Is Not Enough: A Simple yet Effective Watermark Removal Attack for DNN Models [72.9364216776529]
  我々は異なる視点から新しい透かし除去攻撃を提案する。 我々は、知覚不可能なパターン埋め込みと空間レベルの変換を組み合わせることで、単純だが強力な変換アルゴリズムを設計する。 我々の攻撃は、非常に高い成功率で最先端の透かしソリューションを回避できる。
  論文  参考訳（メタデータ） (2020-09-18T09:14:54Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。