的一部分机器学习与系统3(MLSys 2021)
Omid Aramoon、Pin-Yu Chen、Gang Qu
设计一流的深度学习模型是一个昂贵的过程,涉及收集数据、雇用具有机器学习专业知识的人力资源以及提供高计算资源。因此,深度学习模型被视为模型供应商的宝贵知识产权(IP)。为了确保深度学习模型的可靠商业化,开发技术以保护模型供应商免受知识产权侵犯至关重要。最近显示出巨大前景的此类技术之一是数字水印。然而,当前的水印方法可以嵌入非常有限的信息量,并且容易受到水印去除攻击。本文提出了GradSigns,一种用于深度神经网络(DNN)的新型水印框架。GradSigns将所有者的签名嵌入到相对于模型输入的交叉熵成本函数的梯度中。我们的方法对受保护模型的性能的影响可以忽略不计,并且它允许模型供应商通过预测API远程验证水印。我们使用CIFAR-10、SVHN和YTF数据集评估针对不同图像分类任务训练的DNN上的GradSigns。实验结果表明,GradSigns对所有已知的反水印攻击都具有鲁棒性,并且可以将大量信息嵌入到DNN中。
在电子程序中更改姓名的请求将被接受,不会提出任何问题。然而,名称更改可能会导致书目跟踪问题。作者被要求仔细考虑这一点,并在要求在电子诉讼中更改姓名之前与合著者进行讨论。
使用“报告问题”链接请求更改名称。