[发明专利]基于混沌的智能模型黑盒水印触发集自动标注算法

说明书

本发明公开了基于混沌的智能模型黑盒水印触发集自动标注算法。该技术利用混沌解决了触发集标签自动标注问题，可以有效地解决现有黑盒水印触发集的自动标注问题，从而我们可以通过远程API，利用少量的查询提取水印，进而确定深度学习智能模型所有者身份。它能够有效地解决白盒水印方案提取水印困难的问题，不需要下载服务器端的模型或者读懂源程序。司法取证时，也会变得异常简单，只需要对比输出的分类结果是否与预期结果相符。

技术领域

本发明涉及图像处理技术领域，具体为基于混沌的智能模型黑盒水印触发集自动标注算法。

背景技术

目前在我国新一代人工智能的发展上，科技部启动建设了国家新一代人工智能开放创新平台，所树立起的典型是：“自动驾驶(百度)、智能视觉(商汤集团)、医疗影像(腾讯)、智能语音(科大讯飞公司)等”。这类高性能的深度学习智能模型的创建需要花费大量的人力物力，而且它们与人类社会已经深度结合。深度学习智能模型可以被看作是一种代替人类工作的智能体。因此，它们需要像人类一样具有身份识别，为深度学习智能模型的所有者和使用者提供鉴别身份的依据。当前，很多用户根本不知道哪些人工智能应用获取了自己的信息，也不知道哪些是合法的深度学习智能模型，哪些是非法的深度学习智能模型。因此，人工智能产业亟需一种专门的技术来标识和证明深度学习智能模型的身份或所有者身份。

目前已经出现了一些证明模型身份的技术方案，比如白盒水印和黑盒水印。然而，目前出现的这些技术基本上都有一定缺陷。例如，白盒水印易受到统计攻击；白盒水印在水印提取时需要获取到在服务器端的整个模型，水印提取困难；黑盒水印承载的信息量较小；黑盒水印触发集的特征是通常是人类可理解的，有极大的泛化性，无法抵抗欺诈性的所有权声称攻击和覆盖攻击；黑盒水印并未实现触发集和密钥的分离，无法解决触发集泄露而导致的密钥泄露问题。且白盒水印和黑盒水印方案都只考虑到了单一的身份验证和有限的使用场景，而没有考虑到模型的商业化以及实际生产落地的问题。然而，人工智能的迅猛发展将不可避免地促使深度学习智能模型的商业化，给不同的购买深度学习智能模型的用户分配不同的密钥能够有效地解决模型的落地和模型泄露时的溯源问题。

鉴于此，我们提出了基于混沌的深度学习智能模型身份验证方案：利用混沌对黑盒水印触发集进行自动标注，将自动标注的触发集放到模型中进行训练，进而在水印提取阶段验证模型所有权。由于混沌的初值敏感、非周期、无规律、长时间不可预测等特性。机器学习预测不到混沌的特性，攻击者无法找到其他符合我们水印特性的触发集。因此，该水印具备不可泛化性。这种不可泛化性能够抵抗欺诈性所有权声称攻击和覆盖攻击等。除此之外，由于混沌对初值敏感，能够产生大量不相干的混沌序列，用来独一无二地标识多个智能体产品，有利于模型的商业化和模型泄露时的溯源问题。另外，我们的方案能够实现触发集和密钥的分离，即使攻击者已经掌握了我们的水印触发集和生成标签的混沌方程，根据kerchhoff准则，密钥是未知的，即混沌方程的系数参数和混沌序列的初值是未知的，从而保证了密钥的安全性。

发明内容

本发明采取的技术方案如下：

假设有一个分类问题，数据的标签用l_i表示，其中，1≤i≤m，标签的集合是

触发集水印的自动标注方案可按照以下步骤进行：

一、选取n个触发集图片N_k

选取一定数量的n个触发集图片N_k，1≤k≤n，它们对应的原始标签分别是L_k，1≤k≤n。其中即，所有触发器集标签的并集是m个标签集合的子集，第一步骤中n的取值范围为整数。

二、为触发集图片N_k分配混沌值X_Nk，