論文の概要: Neural Dehydration: Effective Erasure of Black-box Watermarks from DNNs with Limited Data

• arxiv url: http://arxiv.org/abs/2309.03466v2
• Date: Mon, 2 Sep 2024 11:01:35 GMT
• ステータス: 処理完了
• システム内更新日: 2024-09-04 22:35:08.321107
• Title: Neural Dehydration: Effective Erasure of Black-box Watermarks from DNNs with Limited Data
• Title（参考訳）: 神経脱水:限られたデータによるDNNからのブラックボックス透かしの効果的消去
• Authors: Yifan Lu, Wenxuan Li, Mi Zhang, Xudong Pan, Min Yang,
• Abstract要約: 我々はtextscNeural Dehydration (textitabbrev. textscDehydra) と呼ばれる透かしに依存しない除去攻撃を提案する。 我々の攻撃パイプラインは、保護されたモデルの内部を利用して、透かしメッセージを復元し、解放する。 盗難されたモデルユーティリティの少なくとも90%を保存し、カバーされたすべての透かしの強い除去効果を達成する。
• 参考スコア（独自算出の注目度）: 23.90041044463682
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: To protect the intellectual property of well-trained deep neural networks (DNNs), black-box watermarks, which are embedded into the prediction behavior of DNN models on a set of specially-crafted samples and extracted from suspect models using only API access, have gained increasing popularity in both academy and industry. Watermark robustness is usually implemented against attackers who steal the protected model and obfuscate its parameters for watermark removal. However, current robustness evaluations are primarily performed under moderate attacks or unrealistic settings. Existing removal attacks could only crack a small subset of the mainstream black-box watermarks, and fall short in four key aspects: incomplete removal, reliance on prior knowledge of the watermark, performance degradation, and high dependency on data. In this paper, we propose a watermark-agnostic removal attack called \textsc{Neural Dehydration} (\textit{abbrev.} \textsc{Dehydra}), which effectively erases all ten mainstream black-box watermarks from DNNs, with only limited or even no data dependence. In general, our attack pipeline exploits the internals of the protected model to recover and unlearn the watermark message. We further design target class detection and recovered sample splitting algorithms to reduce the utility loss and achieve data-free watermark removal on five of the watermarking schemes. We conduct comprehensive evaluation of \textsc{Dehydra} against ten mainstream black-box watermarks on three benchmark datasets and DNN architectures. Compared with existing removal attacks, \textsc{Dehydra} achieves strong removal effectiveness across all the covered watermarks, preserving at least $90\%$ of the stolen model utility, under the data-limited settings, i.e., less than $2\%$ of the training data or even data-free.
• Abstract（参考訳）: 高度に訓練された深層ニューラルネットワーク(DNN)の知的特性を保護するため,DNNモデルの予測行動に埋め込まれたブラックボックスの透かしが,APIアクセスのみを用いて疑似モデルから抽出され,学業・産業ともに人気が高まっている。 ウォーターマークの堅牢性は通常、保護されたモデルを盗み、ウォーターマーク除去のパラメータを難読化する攻撃者に対して実装される。 しかし、現在の堅牢性評価は主に中程度の攻撃や非現実的な設定下で実行される。 既存の削除攻撃は、メインストリームのブラックボックスの透かしのごく一部を破ることしかできず、不完全な除去、透かしの事前の知識への依存、性能劣化、データへの高い依存という4つの重要な側面で不足する可能性がある。 本稿では, 透かし非依存の除去攻撃である‘textsc{Neural Dehydration} (\textit{abbrev) を提案する。 これはDNNから10のメインストリームのブラックボックスの透かしを効果的に消去する。 一般的に、攻撃パイプラインは保護されたモデルの内部を利用して、透かしメッセージを復元し、解放する。 さらに,目的のクラス検出とサンプル分割アルゴリズムを設計し,実用的損失を低減し,透かしの5つのスキームでデータフリーな透かし除去を実現する。 我々は,3つのベンチマークデータセットとDNNアーキテクチャを用いた10の主流ブラックボックス透かしに対して,textsc{Dehydra} の総合評価を行う。 既存の削除攻撃と比較すると、 \textsc{Dehydra} は、盗難されたモデルユーティリティの少なくとも 90 %$ をデータ制限設定下で保存し、トレーニングデータの 2 % 以下、あるいはデータフリーでも、カバーされたすべての透かしの強い除去効果を達成する。

関連論文リスト

• DeepEclipse: How to Break White-Box DNN-Watermarking Schemes [60.472676088146436]
  既存のホワイトボックスの透かし除去方式とは大きく異なる難読化手法を提案する。 DeepEclipseは、下層の透かしスキームについて事前に知ることなく、透かし検出を回避できる。 評価の結果,DeepEclipseは複数のホワイトボックス透かし方式に優れていることがわかった。
  論文  参考訳（メタデータ） (2024-03-06T10:24:47Z)
• ClearMark: Intuitive and Robust Model Watermarking via Transposed Model Training [50.77001916246691]
  本稿では,人間の直感的な評価を目的とした最初のDNN透かし手法であるClearMarkを紹介する。 ClearMarkは目に見える透かしを埋め込んで、厳格な値閾値なしで人間の意思決定を可能にする。 8,544ビットの透かし容量は、現存する最強の作品に匹敵する。
  論文  参考訳（メタデータ） (2023-10-25T08:16:55Z)
• Towards Robust Model Watermark via Reducing Parametric Vulnerability [57.66709830576457]
  バックドアベースのオーナシップ検証が最近人気となり,モデルオーナがモデルをウォーターマークすることが可能になった。 本研究では,これらの透かし除去モデルを発見し,それらの透かし挙動を復元するミニマックス定式化を提案する。 本手法は,パラメトリックな変化と多数のウォーターマーク除去攻撃に対するモデル透かしの堅牢性を向上させる。
  論文  参考訳（メタデータ） (2023-09-09T12:46:08Z)
• Did You Train on My Dataset? Towards Public Dataset Protection with Clean-Label Backdoor Watermarking [54.40184736491652]
  本稿では,公開データの保護のための一般的な枠組みとして機能するバックドアベースの透かし手法を提案する。 データセットに少数の透かしサンプルを挿入することにより、我々のアプローチは、ディフェンダーが設定した秘密関数を暗黙的に学習することを可能にする。 この隠れた機能は、データセットを違法に使用するサードパーティモデルを追跡するための透かしとして使用できる。
  論文  参考訳（メタデータ） (2023-03-20T21:54:30Z)
• On Function-Coupled Watermarks for Deep Neural Networks [15.478746926391146]
  本稿では,透かし除去攻撃に対して効果的に防御できる新しいDNN透かし法を提案する。 私たちの重要な洞察は、透かしとモデル機能の結合を強化することです。 その結果,アグレッシブ・ウォーターマーク除去攻撃による100%透かし認証の成功率を示した。
  論文  参考訳（メタデータ） (2023-02-08T05:55:16Z)
• Exploring Structure Consistency for Deep Model Watermarking [122.38456787761497]
  Deep Neural Network(DNN)の知的財産権(IP)は、代理モデルアタックによって簡単に盗まれる。 本稿では,新しい構造整合モデルウォーターマーキングアルゴリズムを設計した新しい透かし手法,すなわち構造整合性'を提案する。
  論文  参考訳（メタデータ） (2021-08-05T04:27:15Z)
• Fine-tuning Is Not Enough: A Simple yet Effective Watermark Removal Attack for DNN Models [72.9364216776529]
  我々は異なる視点から新しい透かし除去攻撃を提案する。 我々は、知覚不可能なパターン埋め込みと空間レベルの変換を組み合わせることで、単純だが強力な変換アルゴリズムを設計する。 我々の攻撃は、非常に高い成功率で最先端の透かしソリューションを回避できる。
  論文  参考訳（メタデータ） (2020-09-18T09:14:54Z)
• Removing Backdoor-Based Watermarks in Neural Networks with Limited Data [26.050649487499626]
  ディープモデルの取引は、今日では非常に需要が高く、利益を上げている。 ナイーブ・トレーディング・スキームは 一般的に 著作権と信頼性の問題に関連する 潜在的なリスクを伴います WILDと呼ばれる限られたデータを用いたバックドア型透かし除去フレームワークを提案する。
  論文  参考訳（メタデータ） (2020-08-02T06:25:26Z)
• Neural Network Laundering: Removing Black-Box Backdoor Watermarks from Deep Neural Networks [17.720400846604907]
  ニューラルネットワークからブラックボックスバックドアの透かしを除去する「洗浄」アルゴリズムを提案する。 本論文では,すべてのバックドア透かし法について,透かしの頑健さが当初の主張よりも著しく弱いことが確認された。
  論文  参考訳（メタデータ） (2020-04-22T19:02:47Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。