Robust and Large-Payload DNN Watermarking via Fixed, Distribution-Optimized, Weights

要約

効果的なマルチビット電子透かしアルゴリズムの設計は、電子透かしのトレードオフ トライアングルを形成する 3 つの基本要件、つまりネットワーク変更に対する堅牢性、ペイロード、目立たないことの間で適切なトレードオフを見つけることにかかっており、パフォーマンスへの影響を最小限に抑えます。
透かし入りのネットワーク。
この論文では、まず DNN の場合の透かしのトレードオフの三角形の性質を再検討し、次にその結果を利用して、非常に大きなペイロードとネットワーク変更に対する強力な堅牢性を実現するホワイトボックスのマルチビット透かし手法を提案します。
提案されたシステムでは、ウォーターマークをホストする重みがトレーニング前に設定され、その振幅がターゲットのペイロードに耐え、ネットワークの変更、特に再トレーニングに耐えるのに十分な大きさであることが確認され、トレーニング プロセス全体を通じて変更されないままになります。
透かしを運ぶ重みの分布は理論的に最適化されており、透かしの機密性が確保され、透かしの入った重みが透かしの入っていない重みと区別できないことが保証されます。
提案された方法は、ネットワークの変更、再トレーニング、転移学習に対する堅牢性など、ネットワークの精度に大きな影響を与えることなく、優れたパフォーマンスを達成できます。同時に、より低い、またはせいぜい同等の性能を達成する最先端の方法では到達できないペイロードを確保します。
– 堅牢性。

要約(オリジナル)

The design of an effective multi-bit watermarking algorithm hinges upon finding a good trade-off between the three fundamental requirements forming the watermarking trade-off triangle, namely, robustness against network modifications, payload, and unobtrusiveness, ensuring minimal impact on the performance of the watermarked network. In this paper, we first revisit the nature of the watermarking trade-off triangle for the DNN case, then we exploit our findings to propose a white-box, multi-bit watermarking method achieving very large payload and strong robustness against network modification. In the proposed system, the weights hosting the watermark are set prior to training, making sure that their amplitude is large enough to bear the target payload and survive network modifications, notably retraining, and are left unchanged throughout the training process. The distribution of the weights carrying the watermark is theoretically optimised to ensure the secrecy of the watermark and make sure that the watermarked weights are indistinguishable from the non-watermarked ones. The proposed method can achieve outstanding performance, with no significant impact on network accuracy, including robustness against network modifications, retraining and transfer learning, while ensuring a payload which is out of reach of state of the art methods achieving a lower – or at most comparable – robustness.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google