PointNCBW: Towards Dataset Ownership Verification for Point Clouds via Negative Clean-label Backdoor Watermark

要約

最近、点群はコンピュータ ビジョンで広く使用されていますが、その収集には時間と費用がかかります。
したがって、点群データセットはその所有者の貴重な知的財産であり、保護される価値があります。
これらのデータセット、特に再販売や許可なく商用利用ができない商用またはオープンソースのデータセットの不正使用を検出して防止するために、当社の保護されたデータセットで疑わしいサードパーティのモデルが闇の環境でトレーニングされていないかどうかを特定する予定です。
ボックス設定。
私たちは、有効性とステルス性の両方を保証する点群用のスケーラブルなクリーンラベル バックドア ベースのデータセット ウォーターマークを設計することでこの目標を達成します。
カテゴリ数の影響を受けやすい既存のクリーンラベル ウォーターマーク スキームとは異なり、私たちの方法では、ターゲット クラスだけではなく、すべてのクラスのサンプルにウォーターマークを入れることができます。
したがって、多くのクラスを含む大規模なデータセットでも高い効果を維持できます。
具体的には、ラベルを変更せずにトリガー パターンを挿入する前に、選択した点群を形状と点の両方で非ターゲット カテゴリで摂動します。
摂動されたサンプルの特徴は、ターゲット クラスの良性サンプルの特徴と似ています。
そのため、透かし入りのデータセットでトレーニングされたモデルは、特徴的でありながらステルス的なバックドア動作、つまり、トレーニングされた DNN が挿入されたトリガー パターンをターゲット ラベルの予測を拒否する信号として扱うため、トリガーが出現するたびにターゲット クラスからサンプルを誤分類することになります。
また、提案されたウォーターマークに基づいて、仮説テストに基づいたデータセットの所有権の検証も設計します。
ベンチマーク データセットに対する広範な実験が実施され、私たちの手法の有効性と潜在的な削除手法に対する耐性が検証されます。

要約(オリジナル)

Recently, point clouds have been widely used in computer vision, whereas their collection is time-consuming and expensive. As such, point cloud datasets are the valuable intellectual property of their owners and deserve protection. To detect and prevent unauthorized use of these datasets, especially for commercial or open-sourced ones that cannot be sold again or used commercially without permission, we intend to identify whether a suspicious third-party model is trained on our protected dataset under the black-box setting. We achieve this goal by designing a scalable clean-label backdoor-based dataset watermark for point clouds that ensures both effectiveness and stealthiness. Unlike existing clean-label watermark schemes, which are susceptible to the number of categories, our method could watermark samples from all classes instead of only from the target one. Accordingly, it can still preserve high effectiveness even on large-scale datasets with many classes. Specifically, we perturb selected point clouds with non-target categories in both shape-wise and point-wise manners before inserting trigger patterns without changing their labels. The features of perturbed samples are similar to those of benign samples from the target class. As such, models trained on the watermarked dataset will have a distinctive yet stealthy backdoor behavior, i.e., misclassifying samples from the target class whenever triggers appear, since the trained DNNs will treat the inserted trigger pattern as a signal to deny predicting the target label. We also design a hypothesis-test-guided dataset ownership verification based on the proposed watermark. Extensive experiments on benchmark datasets are conducted, verifying the effectiveness of our method and its resistance to potential removal methods.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google