Guardians of the Quantum GAN

要約

量子敵対的生成ネットワーク (qGAN) は、画像生成量子機械学習モデルの最前線にあります。
量子機械学習モデルをトレーニングおよび推論するためのノイズ性中間スケール量子 (NISQ) デバイスに対する需要の高まりに対応するために、量子ハードウェアをサービスとして提供するサードパーティ ベンダーの数が増加すると予想されます。
この拡張により、信頼できないベンダーが量子機械学習モデルから機密情報を盗む可能性があるというリスクが生じます。
この懸念に対処するために、qGAN のトレーニング段階で埋め込まれたノイズ署名を非侵襲的な透かしとして利用する新しい透かし技術を提案します。
qGAN によって生成された画像内で透かしを識別できるため、トレーニング中に使用された特定の量子ハードウェアを追跡できるため、所有権の強力な証拠が得られます。
セキュリティの堅牢性をさらに強化するために、攻撃者が複製するのが難しいすべてのトレーニング ハードウェアのノイズ シグネチャを含む複雑な透かしを埋め込む、一連の多量子ハードウェア上で qGAN をトレーニングすることを提案します。
また、このウォーターマークを堅牢に抽出する機械学習分類器も開発し、それによって qGAN によって生成された画像からトレーニング ハードウェア (またはハードウェア スイート) を識別し、モデルの信頼性を検証します。
透かし署名は、トレーニングに使用されたハードウェアとは異なるハードウェアでの推論に対して堅牢であることに注意してください。
個別および複数の量子ハードウェア設定での qGAN のトレーニング (および異なるハードウェアでの推論) では、それぞれ 100% と ~90% の透かし抽出精度が得られました。
トレーニング中のパラメーターの進化は量子ノイズによって強く変調されるため、提案されたウォーターマークは他の量子機械学習モデルにも拡張できます。

要約(オリジナル)

Quantum Generative Adversarial Networks (qGANs) are at the forefront of image-generating quantum machine learning models. To accommodate the growing demand for Noisy Intermediate-Scale Quantum (NISQ) devices to train and infer quantum machine learning models, the number of third-party vendors offering quantum hardware as a service is expected to rise. This expansion introduces the risk of untrusted vendors potentially stealing proprietary information from the quantum machine learning models. To address this concern we propose a novel watermarking technique that exploits the noise signature embedded during the training phase of qGANs as a non-invasive watermark. The watermark is identifiable in the images generated by the qGAN allowing us to trace the specific quantum hardware used during training hence providing strong proof of ownership. To further enhance the security robustness, we propose the training of qGANs on a sequence of multiple quantum hardware, embedding a complex watermark comprising the noise signatures of all the training hardware that is difficult for adversaries to replicate. We also develop a machine learning classifier to extract this watermark robustly, thereby identifying the training hardware (or the suite of hardware) from the images generated by the qGAN validating the authenticity of the model. We note that the watermark signature is robust against inferencing on hardware different than the hardware that was used for training. We obtain watermark extraction accuracy of 100% and ~90% for training the qGAN on individual and multiple quantum hardware setups (and inferencing on different hardware), respectively. Since parameter evolution during training is strongly modulated by quantum noise, the proposed watermark can be extended to other quantum machine learning models as well.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google