Document
拖动滑块完成拼图
首页 专利交易 科技果 科技人才 科技服务 国际服务 商标交易 会员权益 IP管家助手 需求市场 关于龙图腾
 /  免费注册
到顶部 到底部
清空 搜索

神经网络分发加密及其抗合谋攻击方法 

买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!

申请/专利权人:薇链信息技术有限公司

摘要:本发明提出一种神经网络分发加密及其抗合谋攻击方法,基于神经网络黑盒水印技术构造用户指纹和基于对抗样本技术提取源模型的模型指纹,以此对于神经网络模型提供了双重的指纹验证技术,采用的双重的指纹验证技术提供了由粗粒度到细粒度的产权朔源和追踪功能。此外,提出了两种基于神经网络结构的抗合谋的等价变换技术,实现了对合谋攻击的主动性防御。

主权项:1.一种神经网络分发加密方法,其特征在于:包含有:一个神经网络的模型拥有者、多个待分发的用户;所述模型拥有者使用对抗样本生成算法,提取出神经网络源模型上的n个对抗样本和标签对,作为一组模型指纹信息;所述模型拥有者对每个待分发的用户产生相关的密钥,然后通过密钥为其产生一系列异于原始数据集的样本标签对,作为一组区别于其他待分发的用户的唯一指纹;多个用户拥有其各自的一份用户指纹,但共用同一组模型指纹;用户指纹和模型指纹的生成信息都只隶属于模型拥有者;所述模型拥有者根据产生的用户指纹,拷贝一份源模型,并在拷贝模型上微调后嵌入神经网络其对应的用户指纹;采用如下的算法进行对抗样本的提取:minimize||x-x'||2+c·fx',1其中,fx'=maxmax{Zx'i:i≠t}-Zx't,-k2公式1中x'=x+σ是目标对抗性样本,Zx'代表将对抗样本x'输入到源神经网络最后进入softmax层之前的输出;而Zx'i代表softmax层前第i个神经元的输出;Zx't代表目标对抗样本标签下标对应的第t个神经元的输出;k为调节对抗样本迁移性的一个超参数,通过调节合适的k,即可以提取一组对抗样本作为源模型指纹;假设从源模型Msource提取出的一组模型指纹集为FPmodel={img1,target1,img2,target2,...,imgn,targetn};并且有一个分发给用户的子模型利用模型指纹FPmodel验证子模型的算法如下3: 其中当x=y时gx,y=1,否则gx,y=0;如果大于一个预设的阈值,说明子模型产生自模型拥有者的源模型;所述用户指纹的具体生成方法为:设模型拥有者对于每个用户分配一张唯一的原始图像和两个密钥Key1、Key2,并采用两种不同的哈希算法Hash1、Hash2,其中Hash1的输出为图像,Hash2的输出为一个正整数;如下公式4所示,哈希算法Hash1起始输入参数为密钥图像和哈希密钥Key1生成第一张哈希图像ρ1,随后将哈希算法Hash1输出的ρ1和Key2当成哈希算法Hash2的输入得到对应的标签ω1,如公式6和7;以此类推,将生成的第一张哈希图像ρ1和Key1通过哈希算法Hash1得到第m张哈希图像,同理得到对应的第m个标签,其中N为目标神经网络模型所使用的数据集的标签类别数: ω1=Hash2ρ1,Key2%N,m=15ρm=Hash1ρm-1,Key1,m=2,3,…6ωm=Hash2ωm-1,Key2%N,m=2,3,…7针对多个不同的用户,模型拥有者为每一个用户生成m个的样本标签对,将其作为对应用户的指纹用于对子模型产权的追踪和侵权检测。

全文数据:

权利要求:

百度查询: 薇链信息技术有限公司 神经网络分发加密及其抗合谋攻击方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。