DeepTracer: Tracing Stolen Model via Deep Coupled Watermarks
Yunfei Yang, Xiaojun Chen, Yuexin Xuan, Zhendong Zhao, Xin Zhao, He Li
模型水印技术可以通过构建特定的输入输出对将水印信息嵌入到受保护模型中的所有权声明。 然而,在面对模型窃取攻击时,现有的水印很容易被删除,并使模型所有者难以有效地验证被盗模型的版权。 在本文中,我们分析了当前水印方法在模型窃取场景下失败的根本原因,然后探索潜在的解决方案。 具体来说,我们引入了一个健壮的水印框架,DeepTracer,它利用了一种新的水印样品构建方法和同级耦合损耗约束。 DeepTracer可以在水印任务和主要任务之间产生高耦合模型,这使得对手在窃取主要任务功能时不可避免地学习隐藏的水印任务。 此外,我们提出了有效的水印样品过滤机制,精心选择模型所有权验证中使用的水印关键样品,以提高水印的可靠性。 跨多个数据集和模型的广泛实验表明,我们的方法超越了防御各种模型窃取攻击以及水印攻击的现有方法,并实现了新的最先进的有效性和鲁棒性。
Model watermarking techniques can embed watermark information into the protected model for ownership declaration by constructing specific input-output pairs. However, existing watermarks are easily removed when facing model stealing attacks, and make it difficult for model owners to effectively verify the copyright of stolen models. In this paper, we analyze the root cause of the failure of current watermarking methods under model stealing scenarios and then explore potential solutions. Specific...