[发明专利]一种基于模型水印的深度学习模型中毒防御方法

权利要求书

1.一种基于模型水印的深度学习模型中毒防御方法，其特征在于，所述方法包括如下步骤：

收集图片数据集并分类，针对每一类图片数据集制作一种相对应的水印图片；

利用水印嵌入器，将图片数据集中的原图片域A与水印组合成新图片域A+，利用嵌入损失函数对水印嵌入器进行训练；

利用分类损失函数训练得到分类模型，分类模型对图片进行分类，且将新图片域A+输入到分类模型在指定的一层的特征图中得到并保存特征区域T+，将原图片域A输入到分类模型在指定的一层的特征图中得到并保存特征区域T；

利用提取损失函数训练得到水印提取器，将特征区域T和T+输入到水印提取器中对水印进行提取；

根据分类模型对图片进行的分类结果以及水印提取器中水印的提取结果进行加权后预测结果。

2.一种基于模型水印的深度学习模型中毒防御方法，其特征在于，所述水印嵌入后利用判别器判别图片域为A或A+。

3.根据权利要求1所述的基于模型水印的深度学习模型中毒防御方法，其特征在于，所述嵌入损失函数表示为：

L_嵌入＝λ₁*l_基础+λ₂*l_对抗

其中，N表示图像像素值总数，a表示为原图片域A中的图像，a+表示为新图片域A+中的图像，表示A域中图像在判别器D中的输出，表示1减去A+域中图像在判别器D中的输出，l_对抗损失希望鉴别器D不能够将A域和A+域中的图片区分开来，λ₁表示l_基础的超参，λ₂表示l_对抗的超参。

4.根据权利要求1所述的基于模型水印的深度学习模型中毒防御方法，其特征在于，所述分类损失函数表示为：

其中，m表示样本数量，n表示标签数量，i表示第i个样本，j表示第j个标签，x_ij表示第i个样本预测为第j个标签，p(x_ij)表示正确预测，q(x_ij)表示第i个样本预测为第j个标签的概率。

5.根据权利要求1所述的基于模型水印的深度学习模型中毒防御方法，其特征在于，所述提取损失函数表示为：

L_提取＝λ₃*l_水印+λ₄*l_干净+λ₅*l_一致性

其中，l_水印为含水印图像的提取损失函数，l_干净为空白图像的提取损失函数，l_一致性为不同含水印图像中提取出的水印图像的一致性损失函数，N表示图像像素值总数，E为水印提取器，为水印图像，t⁺、为特征域T+中的图像，σ₀为空白图像，σ为原始水印，λ₃表示水印图像提取损失函数的超参，λ₄表示空白图像提取损失函数的超参，λ₅表示水印一致性损失函数的超参。

6.根据权利要求1所述的基于模型水印的深度学习模型中毒防御方法，其特征在于，所述预测结果表示为：

X＝λ₆f₁(x，M)+λ₇f₂(σ_x，σ)

其中，λ₆为图片分类结果的权值，λ₇为水印提取器提取的水印的权值，f₁函数代表输入图片x通过分类模型后获得的分类结果，f₂函数代表输入图片x通过分类模型获得制定层的特征图后水印提取器从这个特征图提取到的水印σ_x与原始水印σ的相似度得分。