論文の概要: Verifying Integrity of Deep Ensemble Models by Lossless Black-box
Watermarking with Sensitive Samples
- arxiv url: http://arxiv.org/abs/2205.04145v1
- Date: Mon, 9 May 2022 09:40:20 GMT
- ステータス: 処理完了
- システム内更新日: 2022-05-10 17:29:08.396349
- Title: Verifying Integrity of Deep Ensemble Models by Lossless Black-box
Watermarking with Sensitive Samples
- Title(参考訳): 感性サンプルを用いたロスレスブラックボックス透かしによるディープエンサンブルモデルの完全性検証
- Authors: Lina Lin and Hanzhou Wu
- Abstract要約: 深層アンサンブルモデル(DEM)のための新しいブラックボックス透かし法を提案する。
提案手法では,実世界のDEM攻撃を模倣して,一定数の機密サンプルを慎重に選択する。
これらの細心の注意深いサンプルからターゲットDEMの予測結果を解析することにより、ターゲットDEMの完全性を検証することができる。
- 参考スコア(独自算出の注目度): 17.881686153284267
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: With the widespread use of deep neural networks (DNNs) in many areas, more
and more studies focus on protecting DNN models from intellectual property (IP)
infringement. Many existing methods apply digital watermarking to protect the
DNN models. The majority of them either embed a watermark directly into the
internal network structure/parameters or insert a zero-bit watermark by
fine-tuning a model to be protected with a set of so-called trigger samples.
Though these methods work very well, they were designed for individual DNN
models, which cannot be directly applied to deep ensemble models (DEMs) that
combine multiple DNN models to make the final decision. It motivates us to
propose a novel black-box watermarking method in this paper for DEMs, which can
be used for verifying the integrity of DEMs. In the proposed method, a certain
number of sensitive samples are carefully selected through mimicking real-world
DEM attacks and analyzing the prediction results of the sub-models of the
non-attacked DEM and the attacked DEM on the carefully crafted dataset. By
analyzing the prediction results of the target DEM on these carefully crafted
sensitive samples, we are able to verify the integrity of the target DEM.
Different from many previous methods, the proposed method does not modify the
original DEM to be protected, which indicates that the proposed method is
lossless. Experimental results have shown that the DEM integrity can be
reliably verified even if only one sub-model was attacked, which has good
potential in practice.
- Abstract(参考訳): 多くの分野でディープニューラルネットワーク(DNN)が広く使われるようになると、知的財産権(IP)侵害からDNNモデルを保護する研究がますます増えている。
多くの既存手法がデジタル透かしを用いてDNNモデルを保護する。
大多数は、内部ネットワーク構造/パラメータに直接透かしを埋め込むか、いわゆるトリガーサンプルセットで保護されるモデルを微調整することでゼロビット透かしを挿入する。
これらの手法は非常にうまく機能するが、個々のDNNモデルに対して設計されており、複数のDNNモデルを組み合わせて最終的な決定を行うディープアンサンブルモデル(DEM)に直接適用することはできない。
そこで,本論文では,demの完全性を検証するために使用できる新しいブラックボックス透かし法を提案する。
提案手法では、実世界のDEM攻撃を模倣し、非攻撃されたDEMと攻撃されたDEMのサブモデルの予測結果を分析することにより、ある程度の機密サンプルを慎重に選択する。
これらの細心の注意深いサンプルからターゲットDEMの予測結果を解析することにより、ターゲットDEMの完全性を検証することができる。
従来の多くの手法とは異なり,提案手法は保護対象とする元のDEMを変更せず,提案手法は無損失であることを示す。
実験の結果,1つのサブモデルのみを攻撃してもDEM整合性が確実に検証可能であることが確認された。
関連論文リスト
- Lazy Layers to Make Fine-Tuned Diffusion Models More Traceable [70.77600345240867]
新たな任意の任意配置(AIAO)戦略は、微調整による除去に耐性を持たせる。
拡散モデルの入力/出力空間のバックドアを設計する既存の手法とは異なり,本手法では,サンプルサブパスの特徴空間にバックドアを埋め込む方法を提案する。
MS-COCO,AFHQ,LSUN,CUB-200,DreamBoothの各データセットに関する実証研究により,AIAOの堅牢性が確認された。
論文 参考訳(メタデータ) (2024-05-01T12:03:39Z) - Fragile Model Watermark for integrity protection: leveraging boundary volatility and sensitive sample-pairing [34.86809796164664]
Fragileモデルの透かしは、モデルが誤った判断を下す可能性のある予期せぬ改ざんを防止することを目的としている。
提案手法では,対のサンプル間のモデル境界を設定するとともに,ロジットの最大化を行う。
これにより、機密サンプルのモデルによる決定結果が可能な限り変化し、Top-1ラベルの移動方向に関わらず変更が容易になる。
論文 参考訳(メタデータ) (2024-04-11T09:01:52Z) - Evaluating Similitude and Robustness of Deep Image Denoising Models via
Adversarial Attack [60.40356882897116]
ディープニューラルネットワーク(DNN)は、従来の画像復調アルゴリズムよりも優れたパフォーマンスを示している。
本稿では,現在のディープ・ディープ・ディープ・ディープ・ディープ・ディープ・ディープ・ディープ・ディープ・ディープ・ディープ・ディープ・ディープ・ディープ・ディープ・ディナイジング・PGD(Denoising-PGD)と名づけられた敵攻撃手法を提案する。
論文 参考訳(メタデータ) (2023-06-28T09:30:59Z) - Reversible Quantization Index Modulation for Static Deep Neural Network
Watermarking [57.96787187733302]
可逆的データ隠蔽法(RDH)は潜在的な解決策を提供するが、既存のアプローチはユーザビリティ、キャパシティ、忠実性の面で弱点に悩まされている。
量子化指数変調(QIM)を用いたRDHに基づく静的DNN透かし手法を提案する。
提案手法は,透かし埋め込みのための1次元量化器に基づく新しい手法を取り入れたものである。
論文 参考訳(メタデータ) (2023-05-29T04:39:17Z) - Watermarking for Out-of-distribution Detection [76.20630986010114]
Out-of-Distribution (OOD) 検出は、よく訓練された深層モデルから抽出された表現に基づいてOODデータを識別することを目的としている。
本稿では,透かしという一般的な手法を提案する。
我々は,元データの特徴に重畳される統一パターンを学習し,ウォーターマーキング後にモデルの検出能力が大きく向上する。
論文 参考訳(メタデータ) (2022-10-27T06:12:32Z) - InFIP: An Explainable DNN Intellectual Property Protection Method based
on Intrinsic Features [12.037142903022891]
本稿では,説明可能な人工知能に基づくディープニューラルネットワーク(DNN)の解釈可能な知的財産保護手法を提案する。
提案手法はDNNモデルを変更せず,オーナシップ検証の決定は解釈可能である。
実験結果から,指紋はモデルの所有権検証に有効であることが示された。
論文 参考訳(メタデータ) (2022-10-14T03:12:36Z) - A Mask-Based Adversarial Defense Scheme [3.759725391906588]
敵対的攻撃はディープニューラルネットワーク(DNN)の機能と精度を妨げる
敵攻撃による負の効果を軽減するため,DNNのためのMask-based Adversarial Defense scheme (MAD)を提案する。
論文 参考訳(メタデータ) (2022-04-21T12:55:27Z) - AdvParams: An Active DNN Intellectual Property Protection Technique via
Adversarial Perturbation Based Parameter Encryption [10.223780756303196]
本稿では,DNNIPを侵害から積極的に保護するための効果的な枠組みを提案する。
具体的には、DNNモデルのパラメータを、よく構築された対向的摂動で摂動することで暗号化する。
暗号化後、暗号化されたパラメータの位置と追加された敵の摂動の値が秘密鍵となる。
論文 参考訳(メタデータ) (2021-05-28T09:42:35Z) - Firearm Detection via Convolutional Neural Networks: Comparing a
Semantic Segmentation Model Against End-to-End Solutions [68.8204255655161]
武器の脅威検出とライブビデオからの攻撃的な行動は、潜在的に致命的な事故の迅速検出と予防に使用できる。
これを実現する一つの方法は、人工知能と、特に画像分析のための機械学習を使用することです。
従来のモノリシックなエンド・ツー・エンドのディープラーニングモデルと、セマンティクスセグメンテーションによって火花を検知する単純なニューラルネットワークのアンサンブルに基づく前述したモデルを比較した。
論文 参考訳(メタデータ) (2020-12-17T15:19:29Z) - Uncertainty Estimation Using a Single Deep Deterministic Neural Network [66.26231423824089]
本稿では,1回のフォワードパスで,テスト時に分布データポイントの発見と拒否が可能な決定論的ディープモデルを訓練する手法を提案する。
我々は,新しい損失関数とセントロイド更新方式を用いて,これらをスケールトレーニングし,ソフトマックスモデルの精度に適合させる。
論文 参考訳(メタデータ) (2020-03-04T12:27:36Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。