技术领域
[0001] 本
发明涉及护照安全领域,具体而言是一种基于DNN用于护照抵御模糊攻击的系统与方法。
背景技术
[0002] 目前
机器学习中采用的嵌入
水印的方法而言,现有方法可大致分为两个学派:a)基于特征的方法,通过加入额外的优化目标约束项将
指定的水印嵌入网络权重之中;b)基于触发集的方法,依赖于具有特定标签的对抗训练样本,即后
门触发集。上述两种方案嵌入的水印都已被成功地证明具备针对去除攻击的鲁棒性,这种攻击主要在于对网络权重的
修改,例如微调或
修剪。然而,我们的研究揭示模糊攻击的存在性和有效性,这种攻击的目的是通过伪造DNN模型的水印来质疑并动摇模型所有权验证的唯一性。我们的研究还表明,即使不需要原始
训练数据集,也总是可以以较小的计算成本,通过逆向工程的方式来伪造水印,实施模糊攻击。
发明内容
[0003] 针对上述问题,本发明提供一种基于DNN用于护照抵御模糊攻击的系统与方法,使用真实护照则性能维持不变,而一旦使用经过修改或伪造的护照,网络性能会严重退化,对于去除攻击具有鲁棒性,而同时能够抵御模糊攻击。本发明采用的技术方案如下:
[0004] 一种基于DNN用于护照抵御模糊攻击的系统与方法,包括DNN模型,所述DNN模型所有权验证方案包括嵌入过程E、保真度评估过程F、签名验证过程V、可逆过程I,其具体步骤如下:
[0005] S11:嵌入过程E是DNN学习过程,其将训练数据D作为输入,包括触发集数据T或签名s,并通过最小化给定的损失函数L来优化模型N;
[0006] S12:保真度评估过程F={False,True}评估性能差异是否小于
阈值,即(M-Mt)<=ε,其中M是针对一组测试数据D测试的DNN性能,Mt是目标表现,ε为阈值,F为保真度评估结果;
[0007] S13:签名验证过程V={False,True}检查对给定神经网络N是否成功验证预定的签名或触发集s,T;
[0008] S14:当满足以下条件,存在可逆过程I(N)=N',并造成成功的模糊攻击Aa:
[0009] a)对于给定的DNN模型,可以把一组新的触发集T'和/或签名s'通过逆向工程推断出来;
[0010] b)伪造的T',s'可以相对于给定的DNN权重W成功验证,即V=True;
[0011] c)保真度评估结果F仍为True;
[0012] S15:存在可逆过程的DNN验证方案V定义为可逆方案Vl,否则定义为不可逆方案[0013] 可选的,基于特征和基于触发集的方法采用组合损失函数如下:
[0014] L=Lc(f(W,Xr),yr)+λtLc(f(W,XT),yT)+λrR(W,s), (1)
[0015] 其中λt,λr是相关超参数的权重,f(W,X_)是输入为Xr或Xt的预测函数并输出预测值,Lc是预测值和目标标签yr或yT的交叉熵的损失函数。签名s={P,B},由护照P和签名字符串B组成,约束项是R=Lc(σ(W,P),B),或R=MSE(B-PW);MSE为均方误差函数。
[0016] 可选的,基于触发集的水印方法的DNN模型还嵌入私有护照和触发集但不分发,所述触发集为一组触发图像,通过远程调用服务API来探测和
声明可疑DNN模型的所有权;首先在黑盒模式下声明所有权,然后在白盒模式下通过护照验证再次声明所有权触发集图像交替最小化原始任务损失和减少包含护照约束项的联合损失函数,原始任务损失不包括护照层,采用GroupNormalisation
算法。
[0017] 可选的,所述护照为随机洗牌后产生的护照,具体方法为:将一组N个所选图送入具有相同结构的训练DNN模型,并在每一层收集N个相应的特征图;在N个选项中,每层只有一个被随机选择为护照。具体地,对于具有L层的DNN模型的一组N个基本图像,总共可以生成NL个可能的护照组合。
[0018] 可选的,基于触发集的水印方法的DNN模型,使用以下步骤将可训练的噪声分量添加到随机选择的基本图像中:
[0019] S31:随机选择一组N个基本图像Tb;
[0020] S32:生成与可训练参数相同大小Tn的随机噪声模式;
[0021] S33:使用求和量XT=Tb+ηTn作为触发集图像,其中η=0.04以使噪声分量不可见;
[0022] S34:随机分配触发集标签yT;
[0023] S35:最小化和可训练参数Tn有关的交叉熵损失Lc。
[0024] 可选的,DNN构架由优化模型N预先确定,并且在DNN权重W学习完之后,触发集T或签名s将被嵌入模型之中;签名验证过程V先调用DNN预测过程,将触发器集样本Tx作为输入,然后检查预测函数f是否在小于阈值的错误检测率的条件下生成指定标签Ty。
[0025] 可选的,所述DNN模型还包括护照层、卷积层,护照层的比例因子γ和偏移量β依赖于卷积核Wp和指定护照层P,具体如下:
[0026]
[0027]
[0028] 其中*表示卷积运算,l是层数,Xp是护照层的输入,Xc是卷积层的输入;O()是相应的线性变换输出,而Pγl和Pβl分别是导出比例因子γ和偏差项β的护照层;所述卷积层中每层卷积层由若干卷积单元组成,每个卷积单元的参数都是通过反向传播算法最佳化得到的,通过卷积运算提取模糊攻击的不同特征。
[0029] 可选的,使用护照层se={Pγl,Pβl}l进行过训练的DNN模型,其预测性能M取决于使用网络时所提供的数字护照,即:
[0030]
[0031] 若不能提供真实的数字护照st≠se,网络运行性能显著恶化。
[0032] 可选的,不可逆方案 中保真度评估结果F取决于呈现的签名s或触发集T。若伪造的护照st≠se,性能M急剧恶化,性能差异大于
阀值,即 ∈f为阀值。
[0033] 可选的,所述签名为嵌入的二进制签名,在DNN权重的学习过程中,将以下符号损失约束项添加到组合损失函数中,以强制比例因子采取指定的正号或负号:
[0034]
[0035] 其中B={b1,···,bC}∈{-1,1}C,由C卷积核的指定二进制位组成,γ0是正控制参数,默认为0.1以激励比例因子的值大于γ0。
[0036] 可选的,所述DNN模型的参数分为公共卷积层参数W和隐藏护照层的比例因子γ和偏差项β,护照信息被嵌入到权重W后学习完成要强制执行以下约束:Avg(Wpl*Pγl)=cγl,Avg(Wpl*Pyl)=cβl;卷积层权重的分布与没有护照层的原始DNN的分布相同;cγl和cβl是参数γl和βl收敛到的常数值,比例因子只能取正或负的远离零的值。
[0037] 本发明
实施例所针对的
深度神经网络,包括了所述提及的所有各种形式,不同输入
信号,不同类型,不同网络结构,不同应用功能,不同运算载体上的深度神经网络,也包括在原理上相同的任何神经网络,无论其运行环境如何。可选的,神经网络可以运行在计算机
中央处理器(CPU)、图形
加速器(GPU)、张量处理器(TPU)、专用
人工智能芯片,和
云计算中心、移动设备、可穿戴设备、智能视频终端、车载设备及其他交通工具、
物联网设备(IoT devices)等设备中。
[0038] 可选的,该基于DNN用于护照抵御模糊攻击的系统与方法可应用于上述终端设备,生成抵御模糊攻击的护照,包括嵌入模
块、保真度评估模块、签名验证模块、可逆模块、护照生成模块。
[0039] 可选的,所述嵌入模块输入训练数据D,包括触发集数据T或签名s,并通过最小化给定的损失函数L来优化模型N;
[0040] 可选的,所述保真度评估模块F评估性能差异是否小于阈值,即(M-Mt)<=ε,其中M是针对一组测试数据D测试的DNN性能,Mt是目标表现,ε为阈值,F为保真度评估结果;
[0041] 可选的,所述签名验证模块V检查对给定神经网络N是否成功验证预定的签名或触发集s,T;
[0042] 可选的,所述可逆模块I(N)=N'满足以下条件存在,并造成成功的模糊攻击Aa:
[0043] d)对于给定的DNN模型,通过逆向工程推断出一组新的触发集T'和/或签名s';
[0044] e)伪造的T',s'可以相对于给定的DNN权重W成功验证,即V=True;
[0045] f)保真度评估结果F仍为True;
[0046] 可选的,所述可逆模块的DNN验证方案V定义为可逆方案Vl,否则定义为不可逆方案
[0047] 可选的,所述护照生成模块将一组N个所选图送入具有相同结构的训练DNN模型,并在每一层收集N个相应的特征图;在N个选项中,每层只有一个被随机选择为护照。具体地,对于具有L层的DNN模型的一组N个基本图像,总共可以生成NL个可能的护照组合。
[0048] 由上述技术方案可知,本发明的有益效果:使用真实护照则性能维持不变,而一旦使用经过修改或伪造的护照,网络性能会严重退化,对于去除攻击具有鲁棒性,而同时能够抵御模糊攻击;所述DNN模型嵌入私有护照和触发集但不分发,交替最小化原始任务损失和减少包含护照约束项的联合损失函数,最小化原始任务损失例如CIFAR10分类,但不包括护照层。
附图说明
[0049] 图1为本发明的数字护照层的体系结构图;
[0050] 图2为本发明的不同护照的DNN模型表现图;
[0051] 图3为嵌入私有护照和触发集但不分发的所有权验证方案图;
[0052] 图4为本发明的对于CIFAR10分类抵抗攻击的表现图;
[0053] 图5为本发明的对于CIFAR100分类抵抗攻击的表现图;
[0055] 图7为护照与训练好的DNN模型一起分发所有权验证方案图;
[0056] 图8为私有护照嵌入DNN模型但不分发的所有权验证方案图;
[0057] 1为假护照,2为逆向工程获得的护照,3为有效护照,4为原始网络DNN,5为Signature,6为CIFAR10,7为CIFAR100,8为fake1,9为fake2,10为valid,11为orig。具体实施方式:
[0058] 构建一种基于DNN用于护照抵御模糊攻击的系统与方法,使用真实护照则性能维持不变,而一旦使用经过修改或伪造的护照,网络性能会严重退化,对于去除攻击具有鲁棒性,而同时能够抵御模糊攻击。
[0059] 一种基于DNN用于护照抵御模糊攻击的系统与方法,包括DNN模型,所述DNN模型所有权验证方案包括嵌入过程E、保真度评估过程F、签名验证过程V、可逆过程I,其具体步骤如下:
[0060] S11:嵌入过程E是DNN学习过程,其将训练数据D作为输入,包括触发集数据T或签名s,并通过最小化给定的损失函数L来优化模型N;
[0061] S12:保真度评估过程F={False,True}评估性能差异是否小于阈值,即(M-Mt)<=ε,其中M是针对一组测试数据D测试的DNN性能,Mt是目标表现,ε为阈值,F为保真度评估结果;
[0062] S13:签名验证过程V={False,True}检查对给定神经网络N是否成功验证预定的签名或触发集s,T;
[0063] S14:当满足以下条件,存在可逆过程I(N)=N',并造成成功的模糊攻击Aa:
[0064] a)对于给定的DNN模型,可以把一组新的触发集T'和/或签名s'通过逆向工程推断出来;
[0065] b)伪造的T',s'可以相对于给定的DNN权重W成功验证,即V=True;
[0066] c)保真度评估结果F仍为True;
[0067] S15:存在可逆过程的DNN验证方案V定义为可逆方案V1,否则定义为不可逆方案[0068] 可选的,基于特征和基于触发集的方法采用组合损失函数如下:
[0069] L=Lc(f(W,Xr),yr)+λtLc(f(W,XT),yT)+λrR(W,s), (1)
[0070] 其中λt,λr是相关超参数的权重,f(W,X_)是输入为Xr或XT的预测函数并输出预测值,Lc是预测值和目标标签yr或yT的交叉熵的损失函数。签名s={P,B},由护照P和签名字符串B组成,约束项是R=Lc(σ(W,P),B),或R=MSE(B-PW);MSE为均方误差函数。
[0071] 下表为基于特征和基于触发集的水印方法所采用的组合损失函数的效果:
[0072]
[0073] 表1
[0074] 表1中转移学习任务微调之前和之后检测水印的准确性。Trans.L1表示使用CIFAR10训练的网络,并且对CIFAR100进行权重微调(顶行);Trans.L2表示对Caltech-101的微调(底行)。括号外是转移任务的准确度,而括号内的是原始任务。WMDet.表示水印的检测
精度,其中括号外/内的精度分别对应微调之后/之前。
[0075] 对于执行分类任务的DNN模型,利用测试数据集Dt={XT,yT}得到的网络性能M=Lc是独立于嵌入的签名s或触发集T的,正是这种独立性导致了现有的基于水印的方法都具备可逆性。
[0076] 如图3所示,基于触发集的水印方法的DNN模型还嵌入私有护照和触发集但不分发,所述触发集为一组触发图像,通过远程调用服务API来探测
和声明可疑DNN模型的所有权;首先在黑盒模式下声明所有权,然后在白盒模式下通过护照验证再次声明所有权触发集图像交替最小化原始任务损失和减少包含护照约束项的联合损失函数,原始任务损失不包括护照层,采用GroupNormalisation算法。
[0077] 所述护照为随机洗牌后产生的护照,具体方法为:将一组N个所选图送入具有相同结构的训练DNN模型,并在每一层收集N个相应的特征图;在N个选项中,每层只有一个被随L机选择为护照。具体地,对于具有L层的DNN模型的一组N个基本图像,总共可以生成N个可能的护照组合。
[0078] 基于触发集的水印方法的DNN模型,使用以下步骤将可训练的噪声分量添加到随机选择的基本图像中:
[0079] S31:随机选择一组N个基本图像Tb;
[0080] S32:生成与可训练参数相同大小Tn的随机噪声模式;
[0081] S33:使用求和量XT=Tb+ηTn作为触发集图像,其中η=0.04以使噪声分量不可见;
[0082] S34:随机分配触发集标签yT;
[0083] S35:最小化和可训练参数Tn有关的交叉熵损失Lc。
[0084] DNN构架由优化模型N预先确定,并且在DNN权重W学习完之后,触发集T或签名s将被嵌入模型之中;签名验证过程V先调用DNN预测过程,将触发器集样本Tx作为输入,然后检查预测函数f是否在小于阈值的错误检测率的条件下生成指定标签Ty。
[0085] 所述DNN模型还包括护照层、卷积层,护照层的比例因子γ和偏移量β依赖于卷积核Wp和指定护照层P,具体如下:
[0086]
[0087]
[0088] 其中*表示卷积运算,l是层数,Xp是护照层的输入,Xc是卷积层的输入;O()是相应的线性变换输出,而Pγl和Pβl分别是导出比例因子γ和偏差项β的护照层;所述卷积层中每层卷积层由若干卷积单元组成,每个卷积单元的参数都是通过反向传播算法最佳化得到的,通过卷积运算提取模糊攻击的不同特征。
[0089] 如图1所示描绘了ResNet层中使用的数字护照层的体系结构,这是一个ResNet层的样例,包含两个卷积层和两个护照层。Pl={Pγl,Pβl}是数字护照。F=Avg(Wpl*Pγ,βl)是计算隐藏参数(即γ和β)的护照函数,它已经在公式(2)中给出。
[0090] 如图2所示展示了不同护照的DNN模型表现,比较原始网络DNN4,DNN与有效护照3,DNN与假护照1和DNN通过逆向工程获得的护照2的CIFAR10分类准确度(在x轴上以%表示)分布。
[0091] 使用护照层se={Pγl,Pβl}l进行过训练的DNN模型,其预测性能M取决于使用网络时所提供的数字护照,即:
[0092]
[0093] 若不能提供真实的数字护照st≠se,网络运行性能显著恶化。因为相应的比例因子γ和偏差项β是根据错误的护照计算的。例如,如图2所示,提供有效护照3的DNN模型显示出与原始网络DNN4几乎相同的准确度,而使用假护照1的相同DNN模型仅实现了约10%的分类率。护照层的关键是保证了比例因子、偏差项和网络权重之间的依赖关系。
[0094] 不可逆方案 中保真度评估结果F取决于呈现的签名s或触发集T。若伪造的护照st≠se,性能M急剧恶化,性能差异大于阀值,即 ∈f为阀值。
[0095] 所述签名为嵌入的二进制签名,在DNN权重的学习过程中,将以下符号损失约束项添加到组合损失函数中,以强制比例因子采取指定的正号或负号:
[0096]
[0097] 其中B={b1,···,bC}∈{-1,1}C,由C卷积核的指定二进制位组成,γ0是正控制参数,默认为0.1以激励比例因子的值大于γ0。
[0098] 所述DNN模型的参数分为公共卷积层参数W和隐藏护照层的比例因子γ和偏差项β,护照信息被嵌入到权重W后学习完成要强制执行以下约束:Avg(Wpl*Pγl)=cγl,Avg(Wpl*Pyl)=cβl;卷积层权重的分布与没有护照层的原始DNN的分布相同;cγl和cβl是参数γl和βl收敛到的常数值,比例因子只能取正或负的远离零的值。
[0099] 接下来我们针对微调,修剪和各种模糊攻击的鲁棒性方面进行实验测试。
[0100] 针对微调的鲁棒性,如下表2护照网络的性能(%)和对微调的鲁棒性,其中BN=批标准化GN=组标准化。(左:使用CIFAR10训练并转移到CIFAR100/Caltech-101任务;右:使用CIFAR100训练并转移到CIFAR10/Caltech-101)。
[0101] 在这个实验中,对于每个DNN模型,我们嵌入的指定比例因子符号,重复训练五次。对于三种所有权验证方案,以100%检测率检测护照签名。如下表2显示,即使在为其他分类任务(例如从CIFAR10到Caltech-101)进行网络微调之后,嵌入式护照仍然保持100%检测率。注意,只有在所有二进制位完全匹配时,才会声明检测到的护照签名。我们将这种优越的鲁棒性归因于比例因子的独特控制性质——如果比例因子值减小到接近零,则通道输出几乎为零,其梯度将消失并失去动力,因而不能继续向相反值方向移动,也就无法改变正负符号。根据实验经验,我们没有观察到这种解释的反例。
[0102]
[0103] 表2
[0104] 针对修剪的鲁棒性,如图4和图5所示,展示了与修剪权重比例相对应DNN性能和护照签名检测率。在这个实验中,我们测试了嵌入护照模型在一定比例的DNN权重被修剪的情况下抵抗攻击的表现。这种权重修剪策略已被用于网络压缩之中。对于CIFAR10分类,在修剪百分比保持在60%左右时,护照签名检测精度接近100%。即使修剪了90%的DNN权重,检测率仍达到70%。我们将针对修改攻击的鲁棒性,归因于例符号中嵌特征而呈现出的优越持久性。
[0105] 针对模糊攻击的防御力,如图6所示,展示了DNN的性能表现,有效护照和两种不同类型的假护照,即随机攻击fake18和模糊攻击fake29。对于CIFAR10分类任务训练的AlexNet和ResNet,网络性能差异很大,它取决于护照的真伪性——提供有效护照的DNN模型显示出与原始DNN模型几乎相同的准确度。同时假护照用相同的DNN模型(在这种情况下fake18=随机攻击)实现了大约10%的分类率,这仅仅相当于随机猜测。在fake29的情况下,我们假设攻击者已获得原始训练数据集,并尝试通过冻结训练的DNN权重来反向推断比例因子和偏差项。结果如图6所示,AlexNet最多只能达到84%,ResNet最多只能达到70%。在CIFAR100分类任务中,对于fake18案例,对AlexNet和ResNet的攻击成功率在1%左右;对于fake29,AlexNet的攻击成功率为44%,ResNet的攻击成功率为35%。基于这些实验研究,我们可以将定义1中的阈值εf分别设置为AlexNet和ResNet的3%和20%。这种保真度评估过程,可以有效地抵御任何潜在的模糊攻击。总之,大量的实验研究表明,对手不可能通过使用假护照维持原始DNN模型的表现,无论假护照是随机生成还是使用原始训练数据集进行逆向推断。这种与护照相关的性能在设计安全的所有权验证方案中发挥着不可或缺的作用。
[0106] 另外,我们还研究了护照与训练好的DNN模型一起分发这个方案V2、私有护照嵌入DNN模型但不分发这个方案V3这两种所有权验证方法。
[0107] 首先,如图7所示,护照与训练好的DNN模型一起分发过程中,该学习过程旨在最小化组合损失函数(公式1),其中λt=0,因为在该方案中不使用触发集图像并且将符号损失(公式5)作为约束项添加。将训练好的DNN模型与护照一起分发给合法用户,合法用户使用给定护照作为护照层输入进行网络预测。网络所有权由分布式护照自动验证。此所有权验证对于DNN权重的微调和修剪是具备鲁棒性的。此外,模糊攻击无法成功伪造一组能够维持网络性能的护照和签名。该方案的缺点是需要在预测阶段使用护照,这导致额外的计算成本,约10%,我们在附录E的表5中展示了实验结果。此外,护照分发给终端用户会干扰用户体验,并要承担保证数字护照安全不泄密的额外责任。
[0108] 接下来,如图8所示,我们谈一下私有护照嵌入DNN模型但不分发,此学习过程旨在同时实现两个目标,其中第一个目标是最小化原始任务损失(例如CIFAR10分类),不包括护照层;第二是尽量减少包含护照约束项的联合损失函数(公式1)。在算法上,这种多任务学习是通过交替最小化这两个目标来实现的。然后将成功训练的DNN模型分发给终端用户,终端用户可以在不需要护照的情况下执行网络预测。注意,这是可实现的,因为护照层不包含在分布式网络中。所有权验证仅在执法部门的要求下进行,通过将护照层添加到相关网络并使用未恶化的网络性能证实嵌入的标志签名。
[0109] 与方案V2相比,该方案易于为终端用户使用,因为不需要护照并且不会产生额外的计算成本。与此同时,所有权验证对于去除攻击以及模糊攻击都很有效。然而,它的缺点是需要
访问DNN权重并附加护照层以进行所有权验证,即白盒保护模式的缺点。因此,我们建议将其与基于触发集的验证相结合,也就是
权利要求书中的方案,见权利要求2。
[0110] 本发明实施例所针对的深度神经网络,包括了所述提及的所有各种形式,不同
输入信号,不同类型,不同网络结构,不同应用功能,不同运算载体上的深度神经网络,也包括在原理上相同的任何神经网络,无论其运行环境如何。可选的,神经网络可以运行在计算机中央处理器(CPU)、
图形加速器(GPU)、张量处理器(TPU)、专用人工
智能芯片,和云计算中心、移动设备、可穿戴设备、智能视频终端、车载设备及其他交通工具、物联网设备(IoT devices)等设备中。
[0111] 可选的,该基于DNN用于护照抵御模糊攻击的系统与方法可应用于上述终端设备,生成抵御模糊攻击的护照,包括嵌入模块、保真度评估模块、签名验证模块、可逆模块、护照生成模块。
[0112] 所述嵌入模块输入训练数据D,包括触发集数据T或签名s,并通过最小化给定的损失函数L来优化模型N;所述保真度评估模块F评估性能差异是否小于阈值,即(M-Mt)<=ε,其中M是针对一组测试数据D测试的DNN性能,Mt是目标表现,ε为阈值,F为保真度评估结果;所述签名验证模块V检查对给定神经网络N是否成功验证预定的签名或触发集s,T;所述可逆模块I(N)=N'满足以下条件存在,并造成成功的模糊攻击Aa:
[0113] d)对于给定的DNN模型,通过逆向工程推断出一组新的触发集T'和/或签名s';
[0114] e)伪造的T',s'可以相对于给定的DNN权重W成功验证,即V=True;
[0115] f)保真度评估结果F仍为True;
[0116] 所述可逆模块的DNN验证方案V定义为可逆方案Vl,否则定义为不可逆方案 所述护照生成模块将一组N个所选图送入具有相同结构的训练DNN模型,并在每一层收集N个相应的特征图;在N个选项中,每层只有一个被随机选择为护照。具体地,对于具有L层的DNN模型的一组N个基本图像,总共可以生成NL个可能的护照组合。
