[发明专利]一种基于DNN用于护照抵御模糊攻击的系统与方法

权利要求书

1.一种基于DNN用于护照抵御模糊攻击的系统与方法，其特征在于，包括DNN模型和护照，所述DNN模型所有权验证方案包括嵌入过程E、保真度评估过程F、签名验证过程V、可逆过程I，其具体步骤如下：

S11:嵌入过程E是DNN学习过程，其将训练数据D作为输入，包括触发集数据T或签名s，并通过最小化给定的损失函数L来优化模型N；

S12:保真度评估过程F＝{False，True}评估性能差异是否小于阈值，即(M-M_t)<＝ε，其中M是针对一组测试数据D测试的DNN性能，M_t是目标表现，ε为阈值，F为保真度评估结果；

S13:签名验证过程V＝{False，True}检查对给定神经网络N是否成功验证预定的签名或触发集s，T；

S14:当满足以下条件，存在可逆过程I(N)＝N'，并造成成功的模糊攻击A_a：

a)对于给定的DNN模型，可以把一组新的触发集T'和/或签名s'通过逆向工程推断出来；

b)伪造的T'，s'可以相对于给定的DNN权重W成功验证，即V＝True；

c)保真度评估结果F仍为True；

S15:存在可逆过程的DNN验证方案V定义为可逆方案V^l，否则定义为不可逆方案

2.根据权利要求1所述的一种基于DNN用于护照抵御模糊攻击的系统与方法，其特征在于：基于特征和基于触发集的方法采用组合损失函数如下：

L＝L_c(f(W，X_r)，y_r)+λ^tL_c(f(W，X_T)，y_T)+λ^rR(W，s)， (1)

其中λ^t，λ^r是相关超参数的权重，f(W，X_)是输入为X_r或X_T的预测函数并输出预测值，L_c是预测值和目标标签y_r或y_T的交叉熵的损失函数。签名s＝{P，B}，由护照P和签名字符串B组成，约束项是R＝L_c(σ(W,P),B)，或R＝MSE(B-PW)；MSE为均方误差函数。

3.根据权利要求1所述的一种基于DNN用于护照抵御模糊攻击的系统与方法，其特征在于：基于触发集的水印方法的DNN模型还嵌入私有护照和触发集但不分发，所述触发集为一组触发图像，通过远程调用服务API来探测和声明可疑DNN模型的所有权；首先在黑盒模式下声明所有权，然后在白盒模式下通过护照验证再次声明所有权触发集图像交替最小化原始任务损失和减少包含护照约束项的联合损失函数，原始任务损失不包括护照层，采用GroupNormalisation算法。

4.根据权利要求1所述的一种基于DNN用于护照抵御模糊攻击的系统与方法，其特征在于：所述护照为随机洗牌后产生的护照，具体方法为：将一组N个所选图送入具有相同结构的训练DNN模型，并在每一层收集N个相应的特征图；在N个选项中，每层只有一个被随机选择为护照。具体地，对于具有L层的DNN模型的一组N个基本图像，总共可以生成N^L个可能的护照组合。

5.根据权利要求1所述的一种基于DNN用于护照抵御模糊攻击的系统与方法，其特征在于：基于触发集的水印方法的DNN模型,使用以下步骤将可训练的噪声分量添加到随机选择的基本图像中:

S31:随机选择一组N个基本图像T_b；

S32:生成与可训练参数相同大小T_n的随机噪声模式；

S33:使用求和量X_T＝T_b+ηT_n作为触发集图像，其中η＝0.04以使噪声分量不可见；

S34:随机分配触发集标签y_T；

S35:最小化和可训练参数T_n有关的交叉熵损失L_c。