ChainMarks: Securing DNN Watermark with Cryptographic Chain

要約

ディープニューラルネットワーク（DNN）モデルの普及に伴い、モデル所有者の知的財産を保護するために動的透かし技術が使用されている。しかし、最近の研究では、既存の電子透かしスキームは、電子透かし除去攻撃や曖昧性攻撃に対して脆弱であることが示されている。その上、電子透かしの存在を判断する基準が曖昧であるため、このような攻撃の可能性がさらに高まっている。本論文では、ChainMarksと名付けられた安全なDNN電子透かし方式を提案する。この方式は、トリガー入力に暗号チェーンを導入することにより、安全で頑健な電子透かしを生成し、電子透かしの存在を判定するために2相モンテカルロ法を利用する。まず、ChainMarksは秘密鍵にハッシュ関数を繰り返し適用することで、電子透かしデータセットとしてトリガー入力を生成し、トリガー入力に関連付けられたターゲットラベルはモデル所有者のデジタル署名から生成される。そして、元のデータセットと透かしデータセットの両方に対してDNNを学習させることで、透かしモデルが生成される。透かしを検証するために、トリガー入力の予測ラベルとターゲットラベルを比較し、特定のモデルの分類確率を考慮した、より正確な判定閾値で所有者を判定する。実験の結果、ChainMarksは最先端の電子透かしスキームと比較して、より高いレベルの堅牢性と安全性を示す。より優れた限界効用により、ChainMarksは同レベルの電子透かし精度でDNNモデルにおける電子透かしの存在をより高い確率で保証する。

要約(オリジナル)

With the widespread deployment of deep neural network (DNN) models, dynamic watermarking techniques are being used to protect the intellectual property of model owners. However, recent studies have shown that existing watermarking schemes are vulnerable to watermark removal and ambiguity attacks. Besides, the vague criteria for determining watermark presence further increase the likelihood of such attacks. In this paper, we propose a secure DNN watermarking scheme named ChainMarks, which generates secure and robust watermarks by introducing a cryptographic chain into the trigger inputs and utilizes a two-phase Monte Carlo method for determining watermark presence. First, ChainMarks generates trigger inputs as a watermark dataset by repeatedly applying a hash function over a secret key, where the target labels associated with trigger inputs are generated from the digital signature of model owner. Then, the watermarked model is produced by training a DNN over both the original and watermark datasets. To verify watermarks, we compare the predicted labels of trigger inputs with the target labels and determine ownership with a more accurate decision threshold that considers the classification probability of specific models. Experimental results show that ChainMarks exhibits higher levels of robustness and security compared to state-of-the-art watermarking schemes. With a better marginal utility, ChainMarks provides a higher probability guarantee of watermark presence in DNN models with the same level of watermark accuracy.

arxiv情報

提供元, 利用サービス

arxiv.jp, DeepL