神经网络上的IP验证

神经网络上的IP验证

这篇是18年发在ASIACCS上的，Protecting Intellectual Property of Deep Neural Networks with Watermarking。方法是传统的用trigger set做水印的那种，创新性一般（当然不知道是不是因为时间的原因），发的还是比较早的。当然现在看来就还是比较一般。

文章大概思路是这样的：

在神经网络的输入里面挑选一组images，并且在这组images上面“generate watermark”，也就是所谓的加上“噪声”。这种“噪声”作者给了三种，第一种是随机噪声，本身是没有什么意义的。第二种是特定的content（“embedding meaningful content”）可以是特定的文字图片等的信息。第三种是直接用和训练的数据集无关的images作为水印。然后给添加噪声或者是与数据集无关的images添加指定的label，这也是用trigger set作为水印的常用手段。然后喂给神经网络进行训练，另一方面，原本的未添加噪声的images要和正确的标签一起，也要加入训练。

最终的检验就是直接通过远程输入这些添加好噪声的images来检验这个神经网络身份信息。大概流程图如下：

文章大概思路还是非常简单而且比较传统的。其实看完了这篇文章感觉整个思路还是比较清晰的，对于不同的攻击手段的分析也有，只不过感觉说服力度有的方面就不是很大，比如reverse engineering这个。我比较在意的是他提到的这两种攻击手段——model inversion attack 和 GAN-based attack。前者就是reverse engineering，后者我现在还没看，等看完了来反馈。

总的来说这篇文章内容还是挺少的，里面就解释了很多和本质内容其实没什么太大关系的东西。我刚看了个开头实在很唬人，还以为是沧海遗珠（啊这，摘要还是很重要的）。比较平常普通的一篇。后面说了集中攻击方式以及抵抗性，感觉提到的overfit for embeded watermarks我觉得大家做的时候都应该加一下这一步检测，感觉现在有一些直接通过在图片里面插入某一个复杂的图的这种做法，实验中既不换图，也不用干净的数据过一遍，感觉不是很有说服力。