[发明专利]验证深度神经网络模型归属的方法、装置和系统

说明书

本发明公开了一种验证深度神经网络模型归属的方法，包括：将待测数据输入目标深度神经网络模型，获得预设目标向量；利用预设加解密算法对所述预设目标向量进行加密，生成模型序列号；输出所述模型序列号；在接收到用户发出的验证指令时，利用预设加解密算法对所述模型序列号进行解密，以获得验证结果。本发明还公开了一种验证深度神经网络模型归属的装置和系统。本发明实现了验证深度神经网络模型归属方法的高保密性。

技术领域

本发明涉及神经网络领域，尤其涉及一种验证深度神经网络模型归属的方法、装置和系统。

背景技术

深度神经网络作为人工智能服务的重要组成部分，已经在数据分析、语音识别以及自然处理等方面取得了巨大的成功。训练一个生产级深度学习模型需要大量的数据、计算资源、专业知识以及脑力劳动，因此有必要设计一项技术来对模型的归属权进行验证以此来保护模型的知识产权。

2017年日本东京国家信息研究所首次提出了数字水印技术，是模型保护的一次明确的进步。该方法通过在神经网络的参数中嵌入水印信息，在验证时通过模型输出的水印信息进行模型的归属权验证。该技术仅允许从本地和完全访问的网络中提取水印，这导致其白盒限制。

随后，一些支持远程认证的水印方法被提出，如零位水印算法(EL Merrer)和数字水印算法(IBM)。两者都可以通过服务API达到远程验证。然而，这些算法只对在线部署的模型有一定保护作用。当模型用于内部使用时，水印无法被检测。且这些算法一般只有模型验证阶段是远程操作，攻击者可以直接阻断该操作请求，阻止验证者的模型检验。在这些情况下，远程验证水印算法将失去效用，模型归属权也因此无从验证。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种验证深度神经网络模型归属的方法、装置和系统，旨在解决现有的模型验证方法存在安全性不高的问题。

为实现上述目的，本发明提供一种验证深度神经网络模型归属的方法，包括：将待测数据输入目标深度神经网络模型，获得预设目标向量；利用预设加解密算法对所述预设目标向量进行加密，生成模型序列号；输出所述模型序列号；在接收到用户发出的验证指令时，利用预设加解密算法对所述模型序列号进行解密，以获得验证结果。

可选地，所述利用预设加解密算法对所述预设目标向量进行加密，生成模型序列号，具体包括：利用预设加解密算法对所述预设目标向量进行加密，生成模型序列号和公钥；所述在接收到用户发出的验证指令时，利用预设加解密算法对所述模型序列号进行解密，以获得验证结果，具体包括：在接收到用户发出的验证指令时，利用预设加解密算法根据所述模型序列号、所述公钥和所述预设目标向量进行解密，以获得验证结果。

可选地，所述将待测数据输入目标深度神经网络模型，获得预设目标向量的步骤之前，所述验证深度神经网络模型归属的方法还包括：获取验证数据集，所述验证数据集包括验证集和与所述验证集对应的预设目标向量；将所述验证集作为输入，将所述预设目标向量作为输出，对预设深度神经网络模型进行训练，获得目标深度神经网络模型以及所述目标深度神经网络模型返回的预设目标向量。

可选地，所述将待测数据输入目标深度神经网络模型，获得预设目标向量，具体包括：将待测数据输入目标深度神经网络模型，获得分类结果和预设目标向量；所述输出所述模型序列号，具体包括：输出所述分类结果和所述模型序列号。

可选地，所述将待测数据输入目标深度神经网络模型，获得预设目标向量的步骤之前，所述验证深度神经网络模型归属的方法还包括：获取分类数据集和验证数据集，所述分类数据集包括预测集和与所述预测集对应的预测结果集，所述验证数据集包括验证集和与所述验证集对应的预设目标向量；利用所述分类数据集和所述验证数据集对预设深度神经网络模型进行交叉训练，获得目标深度神经网络模型以及所述目标深度神经网络模型返回的预测结果集和预设目标向量；对所述预设目标向量进行加密，生成所述目标深度神经网络模型的模型序列号。