論文の概要: "And Then There Were None": Cracking White-box DNN Watermarks via
Invariant Neuron Transforms
- arxiv url: http://arxiv.org/abs/2205.00199v1
- Date: Sat, 30 Apr 2022 08:33:32 GMT
- ステータス: 処理完了
- システム内更新日: 2022-05-03 14:33:26.336437
- Title: "And Then There Were None": Cracking White-box DNN Watermarks via
Invariant Neuron Transforms
- Title(参考訳): あり得なかった」:不変ニューロン変換によるホワイトボックスdnnウォーターマークのクラック
- Authors: Yifan Yan, Xudong Pan, Yining Wang, Mi Zhang, Min Yang
- Abstract要約: 我々は,既存のホワイトボックス透かし方式のほとんど全てを破る,効果的な除去攻撃を初めて提示する。
私たちの攻撃では、トレーニングデータ配布や採用された透かしアルゴリズムに関する事前知識は必要ありません。
- 参考スコア(独自算出の注目度): 29.76685892624105
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Recently, how to protect the Intellectual Property (IP) of deep neural
networks (DNN) becomes a major concern for the AI industry. To combat potential
model piracy, recent works explore various watermarking strategies to embed
secret identity messages into the prediction behaviors or the internals (e.g.,
weights and neuron activation) of the target model. Sacrificing less
functionality and involving more knowledge about the target model, the latter
branch of watermarking schemes (i.e., white-box model watermarking) is claimed
to be accurate, credible and secure against most known watermark removal
attacks, with emerging research efforts and applications in the industry.
In this paper, we present the first effective removal attack which cracks
almost all the existing white-box watermarking schemes with provably no
performance overhead and no required prior knowledge. By analyzing these IP
protection mechanisms at the granularity of neurons, we for the first time
discover their common dependence on a set of fragile features of a local neuron
group, all of which can be arbitrarily tampered by our proposed chain of
invariant neuron transforms. On $9$ state-of-the-art white-box watermarking
schemes and a broad set of industry-level DNN architectures, our attack for the
first time reduces the embedded identity message in the protected models to be
almost random. Meanwhile, unlike known removal attacks, our attack requires no
prior knowledge on the training data distribution or the adopted watermark
algorithms, and leaves model functionality intact.
- Abstract(参考訳): 近年、ディープニューラルネットワーク(DNN)の知的財産権(IP)を保護する方法は、AI産業にとって大きな関心事となっている。
潜在的なモデルの海賊行為に対抗するため、近年の研究は、標的モデルの予測行動や内部(例えば重みやニューロンの活性化)に秘密のアイデンティティメッセージを埋め込む様々な透かし戦略を探求している。
少ない機能とターゲットモデルに関するより多くの知識を犠牲にして、後者のウォーターマーキングスキーム(すなわちホワイトボックスモデルウォーターマーキング)は、業界における新たな研究活動と応用によって、ほとんどの既知のウォーターマーキング除去攻撃に対して正確で信頼性が高く安全であると主張している。
本稿では,既存のホワイトボックス透かしスキームのほとんどをクラックし,性能上のオーバーヘッドを無くし,事前知識を必要としない,最初の効果的な除去攻撃を提案する。
これらのIP保護機構を神経細胞の粒度で解析することにより、局所ニューロン群の脆弱な特徴の集合への共通の依存を初めて発見し、これら全ては、提案された不変ニューロン変換の連鎖によって任意に阻害される。
9ドルの最先端のホワイトボックス透かしスキームと、業界レベルのDNNアーキテクチャの幅広いセットで、当社の攻撃は、保護されたモデルに埋め込まれたアイデンティティメッセージをほとんどランダムに減らした。
一方、既知の削除攻撃とは異なり、我々の攻撃はトレーニングデータ分布や採用済みのウォーターマークアルゴリズムに関する事前知識を必要とせず、モデル機能を完全に残します。
関連論文リスト
- On the Weaknesses of Backdoor-based Model Watermarking: An Information-theoretic Perspective [39.676548104635096]
機械学習モデルの知的財産権の保護は、AIセキュリティの急激な懸念として浮上している。
モデルウォーターマーキングは、機械学習モデルのオーナシップを保護するための強力なテクニックである。
本稿では,既存の手法の限界を克服するため,新しいウォーターマーク方式であるIn-distriion Watermark Embedding (IWE)を提案する。
論文 参考訳(メタデータ) (2024-09-10T00:55:21Z) - DeepiSign-G: Generic Watermark to Stamp Hidden DNN Parameters for Self-contained Tracking [15.394110881491773]
DeepiSign-Gは、CNNやRNNを含む主要なDNNアーキテクチャの包括的な検証のために設計された汎用的な透かし方式である。
従来のハッシュ技術とは異なり、DeepiSign-Gはモデルに直接メタデータを組み込むことができ、詳細な自己完結型トラッキングと検証を可能にする。
我々は,CNNモデル(VGG,ResNets,DenseNet)やRNN(テキスト感情分類器)など,さまざまなアーキテクチャにおけるDeepiSign-Gの適用性を実証する。
論文 参考訳(メタデータ) (2024-07-01T13:15:38Z) - DeepEclipse: How to Break White-Box DNN-Watermarking Schemes [60.472676088146436]
既存のホワイトボックスの透かし除去方式とは大きく異なる難読化手法を提案する。
DeepEclipseは、下層の透かしスキームについて事前に知ることなく、透かし検出を回避できる。
評価の結果,DeepEclipseは複数のホワイトボックス透かし方式に優れていることがわかった。
論文 参考訳(メタデータ) (2024-03-06T10:24:47Z) - Safe and Robust Watermark Injection with a Single OoD Image [90.71804273115585]
高性能なディープニューラルネットワークをトレーニングするには、大量のデータと計算リソースが必要である。
安全で堅牢なバックドア型透かし注入法を提案する。
我々は,透かし注入時のモデルパラメータのランダムな摂動を誘導し,一般的な透かし除去攻撃に対する防御を行う。
論文 参考訳(メタデータ) (2023-09-04T19:58:35Z) - Rethinking White-Box Watermarks on Deep Learning Models under Neural
Structural Obfuscation [24.07604618918671]
ディープニューラルネットワーク(DNN)に対する著作権保護は、AI企業にとって緊急の必要性である。
ホワイトボックスの透かしは、最も知られている透かし除去攻撃に対して正確で、信頼性があり、安全であると考えられている。
主要なホワイトボックスの透かしは、一般的に、テクストダミーニューロンによる神経構造難読化に対して脆弱である。
論文 参考訳(メタデータ) (2023-03-17T02:21:41Z) - Exploring Structure Consistency for Deep Model Watermarking [122.38456787761497]
Deep Neural Network(DNN)の知的財産権(IP)は、代理モデルアタックによって簡単に盗まれる。
本稿では,新しい構造整合モデルウォーターマーキングアルゴリズムを設計した新しい透かし手法,すなわち構造整合性'を提案する。
論文 参考訳(メタデータ) (2021-08-05T04:27:15Z) - Deep Model Intellectual Property Protection via Deep Watermarking [122.87871873450014]
ディープニューラルネットワークは深刻なip侵害リスクにさらされている。
ターゲットの深層モデルを考えると、攻撃者がその全情報を知っていれば、微調整で簡単に盗むことができる。
低レベルのコンピュータビジョンや画像処理タスクで訓練されたディープネットワークを保護するための新しいモデル透かしフレームワークを提案する。
論文 参考訳(メタデータ) (2021-03-08T18:58:21Z) - Fine-tuning Is Not Enough: A Simple yet Effective Watermark Removal
Attack for DNN Models [72.9364216776529]
我々は異なる視点から新しい透かし除去攻撃を提案する。
我々は、知覚不可能なパターン埋め込みと空間レベルの変換を組み合わせることで、単純だが強力な変換アルゴリズムを設計する。
我々の攻撃は、非常に高い成功率で最先端の透かしソリューションを回避できる。
論文 参考訳(メタデータ) (2020-09-18T09:14:54Z) - Neural Network Laundering: Removing Black-Box Backdoor Watermarks from
Deep Neural Networks [17.720400846604907]
ニューラルネットワークからブラックボックスバックドアの透かしを除去する「洗浄」アルゴリズムを提案する。
本論文では,すべてのバックドア透かし法について,透かしの頑健さが当初の主張よりも著しく弱いことが確認された。
論文 参考訳(メタデータ) (2020-04-22T19:02:47Z) - Model Watermarking for Image Processing Networks [120.918532981871]
深層モデルの知的財産権を保護する方法は、非常に重要であるが、真に研究されていない問題である。
画像処理モデルを保護するための最初のモデル透かしフレームワークを提案する。
論文 参考訳(メタデータ) (2020-02-25T18:36:18Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。