IBM разработали водяной знак для защиты нейросетей от копирования

МЕНЮ


Искусственный интеллект
Поиск
Регистрация на сайте
Помощь проекту

ТЕМЫ


Новости ИИРазработка ИИВнедрение ИИРабота разума и сознаниеМодель мозгаРобототехника, БПЛАТрансгуманизмОбработка текстаТеория эволюцииДополненная реальностьЖелезоКиберугрозыНаучный мирИТ индустрияРазработка ПОТеория информацииМатематикаЦифровая экономика

Авторизация



RSS


RSS новости


На конференции ACM Asia 2018 компания представила новый метод для защиты авторских прав разработчиков нейросетей. Концепция включает три алгоритма для создания водяных знаков. Для индентификации моделей предлагается использовать содержательный контент, шум или нерелевантные образцы данных, встраивая их в код вместе с исходными данными глубокого обучения. При этом, водяные знаки не влияют на объём кода и производительность модели.

Если мы можем защитить видео, аудио и фотографии с цифровыми водяными знаками, почему бы не модели AI?

Это вопрос, который мы задали себе и моим коллегам, когда мы планировали разработать методику, гарантирующую разработчикам, что их тяжелая работа в создании AI, например, модели глубокого обучения, может быть защищена. Возможно, вы думаете: "защищен от чего?"Ну, например, что, если ваша модель AI украдена или неправильно использована в гнусных целях, таких как предложение плагиата услуги, построенной на украденной модели? Это вызывает озабоченность, особенно у лидеров ИИ, таких как IBM.

Ранее в этом месяце мы представили наше исследование в AsiaCCS ’18-конференции в Инчхоне, Республика Корея, и мы с гордостью можем сказать, что наша комплексная методика для решения этой задачи была продемонстрирована высокая эффективность и надежная. Наше ключевое нововведение заключается в том, что наши концепции могут удаленно проверить владение глубокие нейронные сети (ДНН) услуги, используя простой API запросов.

По мере того, как модели глубокого обучения более широко используются и становятся более ценными, они все чаще становятся мишенью для противников. Наша идея, которая запатентована, черпает вдохновение из популярных методов водяных знаков, используемых для мультимедийного контента, таких как видео и фотографии.

Точность модели каркаса водяных знаков над процедурой обучения (CIFAR10)

Точность модели по методике обучения (CIFAR10

При нанесении водяных знаков на фотографию есть два этапа: встраивание и обнаружение. На этапе внедрения, владельцы могут наложить слово "COPYRIGHT" на фотографию (или водяные знаки, невидимые для человеческого восприятия), и если он украден и используется другими, мы подтверждаем это на этапе обнаружения, в результате чего владельцы могут извлечь водяные знаки в качестве юридического доказательства, чтобы доказать право собственности. Та же идея может быть применена к DNN.

Встраивая водяные знаки в модели DNN, если они украдены, мы можем проверить право собственности, извлекая водяные знаки из моделей. Однако, в отличие от цифровых водяных знаков, которые встраивают водяные знаки в мультимедийный контент, нам нужно было разработать новый метод для внедрения водяных знаков в модели DNN.

В нашей статьемы опишем подход настояться водяные знаки в ДНН модели, и дизайн пульта дистанционного контроля механизма определения собственности ДНН моделей с помощью API-вызовов.

Мы разработали три алгоритма генерации водяных знаков для генерации различных типов водяных знаков для моделей DNN

  1. встраивание содержательного содержимого вместе с исходными обучающими данными в виде водяных знаков в защищенные Dnn
  2. встраивание несущественных образцов данных в виде водяных знаков в защищенные Dnn и
  3. встраивание шума в виде водяных знаков в защищенные Dnn.

Чтобы проверить нашу систему водяных знаков, мы использовали два общедоступных набора данных: MNIST, набор данных распознавания рукописных цифр, который имеет 60 000 обучающих изображений и 10 000 тестовых изображений и CIFAR10, набор данных классификации объектов с 50 000 обучающих изображений и 10 000 тестовых изображений.

Запуск эксперимента довольно прост: мы просто предоставляем DNN с специально созданным изображением, которое вызывает неожиданный, но контролируемый ответ, если модель была помечена водяным знаком. Это не первый случай, когда рассматривались водяные знаки, но предыдущие концепции были ограничены требованием доступа к параметрам модели. Тем не менее, в реальном мире, украденные модели, как правило, развернуты удаленно, и плагиат службы не будет публиковать параметры украденных моделей.Кроме того, встроенные водяные знаки в моделях DNN надежны и устойчивы к различным механизмам встречных водяных знаков, таким как тонкая настройка, обрезка параметров и атаки инверсии модели.

Увы, у нашей структуры есть некоторые ограничения. Если просочившаяся модель не используется в качестве интерактивного сервиса, а используется как внутренний сервис, то мы не можем обнаружить кражи, но, конечно, плагиат не может напрямую монетизировать украденные модели.

Кроме того, наша текущая система водяных знаков не может защитить модели DNN от кражи через API прогнозирования, в результате чего злоумышленники могут использовать напряжение между доступом к запросу и конфиденциальностью в результатах, чтобы узнать параметры моделей машинного обучения. Однако, было продемонстрировано, что такие атаки только хорошо работают на практике для обычных алгоритмов машинного обучения с меньшим количеством параметров модели, таких как деревья решений и логистические регрессии.

В настоящее время мы планируем развернуть его в IBM и изучить, как технология может быть поставлена как услуга для клиентов.


Защита интеллектуальной собственности глубоких нейронных сетей с водяными знаками
очень Чжан, ГУ Чжуншу, Jiyong Чан, Хой Ву, Марк К. имеется большая терраса, Heqing Хуан, Ян Моллойhttps://doi.org/10.1145/3196494.3196550


Источник: www.ibm.com

Комментарии: