Robust and Lossless Fingerprinting of Deep Neural Networks via Pooled Membership Inference

要約

ディープニューラルネットワーク（DNN）は、すでに多くの応用分野で大きな成果を上げ、私たちの社会に大きな変化をもたらしています。しかし、それはまた新たなセキュリティ問題を提起しており、中でもDNNの知的財産（IP）をいかに侵害から保護するかは、最も重要かつ非常に難しいテーマの1つです。この問題に対処するため、近年の研究では、ネットワークパラメータを直接または間接的に調整することでDNNモデルに出所情報や認証データを埋め込む電子透かしの適用によるDNNの知的財産保護が注目されています。しかし、ネットワークパラメータのチューニングはDNNを歪ませるため、性能低下の程度に関わらず、DNNモデルの本来のタスクに対する性能を確実に低下させる。そこで、本論文では、DNNモデルの知的財産を保護するために、PMI（Pooled Membership Inference）という新しい技術を提案しました。提案するPMIは、与えられたDNNモデルのネットワークパラメータを変更することも、慎重に作られたトリガーサンプルのシーケンスでDNNモデルを微調整することもありません。その代わり、元のDNNモデルは変更せずに、複数のミニデータセットのうちどのミニデータセットがかつて対象のDNNモデルの学習に使われたかを推論することでDNNモデルの所有権を決定することができ、従来の技術とは異なり、実用上顕著な可能性を持っています。また、実験により、その優位性と応用性を実証している。

要約(オリジナル)

Deep neural networks (DNNs) have already achieved great success in a lot of application areas and brought profound changes to our society. However, it also raises new security problems, among which how to protect the intellectual property (IP) of DNNs against infringement is one of the most important yet very challenging topics. To deal with this problem, recent studies focus on the IP protection of DNNs by applying digital watermarking, which embeds source information and/or authentication data into DNN models by tuning network parameters directly or indirectly. However, tuning network parameters inevitably distorts the DNN and therefore surely impairs the performance of the DNN model on its original task regardless of the degree of the performance degradation. It has motivated the authors in this paper to propose a novel technique called \emph{pooled membership inference (PMI)} so as to protect the IP of the DNN models. The proposed PMI neither alters the network parameters of the given DNN model nor fine-tunes the DNN model with a sequence of carefully crafted trigger samples. Instead, it leaves the original DNN model unchanged, but can determine the ownership of the DNN model by inferring which mini-dataset among multiple mini-datasets was once used to train the target DNN model, which differs from previous arts and has remarkable potential in practice. Experiments also have demonstrated the superiority and applicability of this work.

arxiv情報

提供元, 利用サービス

arxiv.jp, DeepL