Steganographic Passport: An Owner and User Verifiable Credential for Deep Model IP Protection Without Retraining

要約

ディープモデルの合法的な使用を保証することは、信頼でき、説明責任があり、責任ある人工知能イノベーションを促進する上で極めて重要です。使用許諾と所有権の検証のためにモデルの機能を難読化する現在のパスポートベースの手法は、新しいユーザーに対して所有者モデルを再トレーニングする必要があるため、容量と品質の制約に悩まされています。また、高度な拡張残余ブロック曖昧性攻撃に対して脆弱である。私たちはステガノグラフィックパスポートを提案する。これは、可逆的なステガノグラフィックネットワークを使用し、所有者側パスポートにユーザのアイデンティティ画像を隠蔽し、それぞれのユーザ側パスポートから復元することで、ライセンス使用と所有権検証を切り離すものである。不可逆で衝突に強いハッシュ関数を使用して、導出されたユーザー側パスポートからオーナー側パスポートが露出するのを回避し、モデル署名の一意性を高める。高度な曖昧性攻撃からパスポートとモデルの重みの両方を保護するために、所有者モデルの検証ブランチに対して活性化レベルの難読化を提案する。検証ブランチとデプロイメントブランチを共同でトレーニングすることで、それらの重みは緊密に結合される。提案手法は、新しいユーザが加入するたびにモデルの再トレーニングを必要とすることなく、強力な所有者証明とライセンス説明責任を提供することで、ディープモデルの機敏なライセンス供与を支援する。実験結果は、我々のステガノグラフィックパスポートが、様々な既知の攻撃に対する堅牢性において、他のパスポートベースのディープモデル保護手法を凌駕することを示している。

要約(オリジナル)

Ensuring the legal usage of deep models is crucial to promoting trustable, accountable, and responsible artificial intelligence innovation. Current passport-based methods that obfuscate model functionality for license-to-use and ownership verifications suffer from capacity and quality constraints, as they require retraining the owner model for new users. They are also vulnerable to advanced Expanded Residual Block ambiguity attacks. We propose Steganographic Passport, which uses an invertible steganographic network to decouple license-to-use from ownership verification by hiding the user’s identity images into the owner-side passport and recovering them from their respective user-side passports. An irreversible and collision-resistant hash function is used to avoid exposing the owner-side passport from the derived user-side passports and increase the uniqueness of the model signature. To safeguard both the passport and model’s weights against advanced ambiguity attacks, an activation-level obfuscation is proposed for the verification branch of the owner’s model. By jointly training the verification and deployment branches, their weights become tightly coupled. The proposed method supports agile licensing of deep models by providing a strong ownership proof and license accountability without requiring a separate model retraining for the admission of every new user. Experiment results show that our Steganographic Passport outperforms other passport-based deep model protection methods in robustness against various known attacks.

arxiv情報

提供元, 利用サービス

arxiv.jp, DeepL