[发明专利]一种神经网络模型图像水印的去除方法

说明书

本发明提出一种神经网络模型图像水印的去除方法，属于人工智能安全技术领域。该方法首先利用训练数据集的原始图像通过随机覆盖矩形噪声得到增强图像集。然后将选取的增强图像和对应的原始图像输入待训练的模型，模型的最后一层卷积层输出每张输入图像对应的特征分布，归一化后，得到对应的归一化后的特征分布；计算原始图像与对应增强图像归一化后特征分布的距离，并惩罚原始图像和增强图像的特征分布距离；利用损失函数对模型进行迭代训练，最终得到去除水印的神经网络模型。本发明基于有限的图像数据，利用图像增强及特征分布优化技术，达到去除后门水印的效果，有利于提升模型水印的安全性，让模型的知识产权保护更可靠。

技术领域

本发明属于人工智能安全技术领域，特别提出一种神经网络模型图像水印的去除方法。

背景技术

近年来，神经网络模型发展迅速，被广泛应用到图像识别等领域。为了训练这些能精确识别图像的神经网络模型，需要大量的计算开销和海量的图像训练数据。为了保护神经网络模型的版权，模型拥有者会利用图像水印技术给自己的模型注入水印，来验证一个可疑的模型是否是自己的模型，从而有效地保护了模型的知识产权。当前常见的模型水印技术是基于后门方式，它的基本思想是在训练模型的过程中留下后门。模型能正确识别正常图像，然后当特定的水印覆盖在正常图像上，模型的输出会被误分类成预先设定好的、错误的类别。因此模型拥有者可以利用事先构造好的特定输入图像来触发后门，通过观测神经网络的输出是否是指定的结果，从而判断该模型是否是自己的模型。

为了测试模型水印的安全性和可用性，我们有必要考虑模型水印的鲁棒性。通过考虑可能存在的去除水印的策略和潜在的风险，可以为今后模型水印的注入提供更多的改进思路和方向，有利于推动后续的模型水印技术不断朝着更安全、更鲁棒的方向完善，进而更好地保护神经网络模型的知识产权。关于后门水印的去除当前主要有以下几种方案：

1).基于模型继续训练的策略。最直观的去除水印的方法是用正常的图像数据继续训练该水印模型，旨在使得模型在训练的过程中逐步忘记水印模式。“微调参数”框架是一种去除模型水印的方法，它基于正常图像数据使用大的学习率继续训练该水印模型可以去除水印，但是会导致模型在原始测试集上的精度急剧下降。因此，该方案过度依赖于学习率的精心设计。此外，该方案还需要额外引入大量的无标签数据，增大了去除水印的方案成本。

2).基于模型剪枝的策略。该方案是防御神经网络模型后门技术的常见方法，它的基本策略是，首先将正常图像输入模型并记录模型中每个神经元的激活值，接着按照激活值递增的顺序，不断移除那些没被激活的神经元并观测模型在测试集上精度的变化情况。当模型精度降到设定的阈值以下时，终止该过程。基于剪枝的策略被证明能防御后门攻击，但它假设恶意的攻击者拥有模型拥有者使用的完整的训练数据集或验证集，这样的强假设在现实场景中是很难做到的。

3).基于L₂正则项的策略。该方案认为后门水印的本质原因是因为模型对水印图案过拟合，从而使得水印图案出现时模型会误分类含有水印的图像。因此，该方案在训练水印模型的过程中添加L₂正则项，从而避免模型对水印数据过拟合，能达到去除水印的效果。然而该方案同样需要和训练集同样大小的数据量，也没有考虑实际场景下可用数据量的有限性。

发明内容

本发明的目的是为克服已有技术的不足之处，提出一种神经网络模型图像水印的去除方法。本发明基于有限的图像数据，利用图像增强及特征分布优化技术，达到去除后门水印的效果。本发明诠释了当前模型水印可能存在被攻击的风险，也为后续模型水印技术的改进提供了新思路，有利于提升模型水印的安全性，让模型的知识产权保护更可靠。

本发明提出一种神经网络模型图像水印的去除方法，其特征在于，该方法包括以下步骤：

1)构建训练数据集，在训练数据集每张图像的随机位置处覆盖矩形噪声得到对应的增强图像，组成增强图像集；具体步骤如下：

1-1)构建训练数据集；