[发明专利]一种基于DNN用于护照抵御模糊攻击的系统与方法

说明书

本发明是设计一种基于DNN用于护照抵御模糊攻击的系统与方法，包括DNN模型，所述DNN模型所有权验证方案包括嵌入过程E、保真度评估过程F、签名验证过程V、可逆过程I；所有权验证时嵌入私有护照和触发集但不分发，包括嵌入护照、嵌入一组触发图像，通过远程调用服务API来探测和声明可疑DNN模型的所有权；先在黑盒模式下声明所有权，后在白盒模式下通过护照验证再次声明所有权触发集图像交替最小化原始任务损失和减少包含护照约束项的联合损失函数；对于训练好的CIFAR10和CIFAR100分类任务AlexNet和ResNet，网络性能表现范围从3％显著地变化到80％,提供有效护照的DNN模型与原始网络的准确度相似率超过90％，而使用假护照的同一DNN模型实现大约10％的分类正确率。

技术领域

本发明涉及护照安全领域，具体而言是一种基于DNN用于护照抵御模糊攻击的系统与方法。

背景技术

目前机器学习中采用的嵌入水印的方法而言，现有方法可大致分为两个学派：a)基于特征的方法，通过加入额外的优化目标约束项将指定的水印嵌入网络权重之中；b)基于触发集的方法，依赖于具有特定标签的对抗训练样本，即后门触发集。上述两种方案嵌入的水印都已被成功地证明具备针对去除攻击的鲁棒性，这种攻击主要在于对网络权重的修改，例如微调或修剪。然而，我们的研究揭示模糊攻击的存在性和有效性，这种攻击的目的是通过伪造DNN模型的水印来质疑并动摇模型所有权验证的唯一性。我们的研究还表明，即使不需要原始训练数据集，也总是可以以较小的计算成本，通过逆向工程的方式来伪造水印，实施模糊攻击。

发明内容

针对上述问题，本发明提供一种基于DNN用于护照抵御模糊攻击的系统与方法，使用真实护照则性能维持不变，而一旦使用经过修改或伪造的护照，网络性能会严重退化，对于去除攻击具有鲁棒性，而同时能够抵御模糊攻击。本发明采用的技术方案如下：

一种基于DNN用于护照抵御模糊攻击的系统与方法，包括DNN模型，所述DNN模型所有权验证方案包括嵌入过程E、保真度评估过程F、签名验证过程V、可逆过程I，其具体步骤如下：

S11:嵌入过程E是DNN学习过程，其将训练数据D作为输入，包括触发集数据T或签名s，并通过最小化给定的损失函数L来优化模型N；

S12:保真度评估过程F＝{False，True}评估性能差异是否小于阈值，即(M-M_t)<＝ε，其中M是针对一组测试数据D测试的DNN性能，M_t是目标表现，ε为阈值，F为保真度评估结果；

S13:签名验证过程V＝{False，True}检查对给定神经网络N是否成功验证预定的签名或触发集s，T；

S14:当满足以下条件，存在可逆过程I(N)＝N'，并造成成功的模糊攻击A_a:

a)对于给定的DNN模型，可以把一组新的触发集T'和/或签名s'通过逆向工程推断出来；

b)伪造的T'，s'可以相对于给定的DNN权重W成功验证，即V＝True；

c)保真度评估结果F仍为True；

S15:存在可逆过程的DNN验证方案V定义为可逆方案V^l，否则定义为不可逆方案

可选的，基于特征和基于触发集的方法采用组合损失函数如下：

L＝L_c(f(W，X_r)，y_r)+λ^tL_c(f(W，X_T)，y_T)+λ^rR(W，s)， (1)