论文阅读笔记 | 模型水印 FedIPR: Ownership Verification for Federated Deep Neural Network Models

论文信息

摘要

联邦学习模型是在多方拥有的有价值的训练数据基础上协作开发的。在联邦模型的开发和部署过程中,它们面临着非法复制、重新分发、滥用和搭便车等风险。为了解决这些风险,联邦学习模型的所有权验证是保护联邦学习模型知识产权(IPR)的先决条件,即,FedIPR。我们提出了一种新的联邦深度神经网络(FedDNN)所有权验证方案,允许嵌入和验证私有水印,以声称FedDNN模型的合法知识产权。在该方案中,每个客户端独立地验证模型水印的存在性,并声称各自的联邦模型的所有权,而不透露私人训练数据,也没有私人水印信息。嵌入式水印的有效性在理论上是合理的,因为我们对水印可以被私自嵌入并被多个客户端检测到的条件进行了严格分析。此外,对计算机视觉和自然语言处理任务的大量实验结果表明,可以嵌入和可靠地检测不同位长的水印,而不会影响原始模型的性能。我们的水印方案还能适应各种联邦训练设置,并能抵御移除攻击。

概览

  • 服务器初始化全局模型并下发至各客户端
  • 客户端生成基于特征的白盒水印和基于后门的黑盒水印,最小化主任务、正则化项的组合损失函数,并将训练后的模型更新发送至服务器
  • 服务器使用FedAvg方法聚合各客户端的模型更新
  • 全局模型收敛后,客户端可以进行所有权验证
  • 黑盒水印验证:客户端检查由触发样本生成的指定标签的检测误差是否小于设定值
  • 白盒水印验证:提取水印与指定水印进行匹配,距离度量使用汉明距离,计算检测率

(慢慢将PPT的内容整理。。以下不完整)

方法设计

水印生成

客户端$k \in {1,…,𝐾}$,通过$𝒢()→(𝑩𝑘,𝜃_𝑘,𝑻_𝑘)$,生成目标水印$𝑩_𝑘$、水印提取参数$𝜃_𝑘={𝑺_𝑘,𝑬_𝑘 }$ ( $𝑺_𝑘$ 表示水印的位置, $𝑬_𝑘$ 表示水印的秘密嵌入矩阵)、触发集$𝐓_𝑘={(X{𝐓𝑘}^1,Y{𝐓𝑘}^1 ),…,(X{𝐓𝑘}^{𝑁_𝑇},Y{𝐓_𝑘}^{𝑁_𝑇} )}$

白盒水印

二进制字符串水印,$𝑩_𝑘 \in \

版权声明:本博客所有文章除特别声明外,均采用 CC BY 4.0许可协议,转载请注明出处
本文链接:https://blog.redamancy.tech/academic/34