2022年图像图形学发展年度报告综述专刊重磅发布!中国图象图形学学会17个专委会、百位专家学者倾力之作,18篇学科重要方向综述论文,梳理学科发展脉络,全面展示研究现状、前沿、热点及趋势。
今日推荐“2022图像图形学发展年度报告”综述专刊中“人工智能模型水印研究进展”,作者:吴汉舟, 张杰, 李越, 殷赵霞, 张新鹏, 田晖, 李斌, 张卫明, 俞能海,本文由中国图象图形学学会数字媒体取证与安全专委会组织撰写。
以神经网络为代表的人工智能技术在计算机视觉、模式识别和自然语言处理等诸多应用领域取得了巨大的成功,包括谷歌、微软在内的许多科技公司都将人工智能模型部署在商业产品中,以提升服务质量和经济效益。然而,构建性能优异的人工智能模型需要消耗大量的数据、计算资源和专家知识,并且人工智能模型易于被未经授权的用户窃取、篡改和贩卖。在人工智能技术迅速发展的同时,如何保护人工智能模型的知识产权具有显著学术意义和产业需求。
识别下方二维码,关注学会公众号
回复【年度报告】
免费获取专刊论文电子版
论文信息
引用格式:
吴汉舟, 张杰, 李越, 殷赵霞, 张新鹏, 田晖, 李斌, 张卫明, 俞能海. 2023. 人工智能模型水印研究进展. 中国图象图形学报, 28(06):1792-1810
Wu Hanzhou, Zhang Jie, Li Yue, Yin Zhaoxia, Zhang Xinpeng, Tian Hui, Li Bin, Zhang Weiming, Yu Nenghai. 2023. Overview of artificial intelligence model watermarking. Journal of Image and Graphics, 28(06):1792-1810
DOI:10.11834/jig.230010
论文看点
该文主要介绍基于数字水印的人工智能模型产权保护技术。通过与传统多媒体水印技术进行对比,首先概述了人工模型水印的研究意义、基础概念和评价指标。
然后,依据水印提取者是否需要掌握目标模型的内容细节以及是否需要和目标模型进行交互,从“白盒”模型水印、“黑盒”模型水印、“无盒”模型水印3个不同的角度分别梳理了国内外研究现状并总结了不同方法的差异,与此同时,对脆弱模型水印也进行了分析和讨论。
最后,通过对比不同方法的特点、优势和不足,总结了不同场景下模型水印的共性技术问题,并对发展趋势进行了展望。
发展趋势与展望
1.白盒模型水印。从隐蔽性、鲁棒性和嵌入量这3个主要指标来看,白盒模型水印方案设计时隐蔽性和鲁棒性的优先级要高于嵌入量。考虑到版权保护的应用场景,水印的鲁棒性是需要重点考量的指标。目前,白盒水印方案的鲁棒性验证多侧重于权重微调、模型剪枝等基础攻击,对抵御如混淆攻击、共谋攻击和窃取攻击等进阶攻击方式的研究相对较少。未来研究中,借鉴传统数字水印理论和深度神经网络可解释性理论或将有助于模型水印鲁棒性的提升。其次,考虑到白盒模型水印方案的特性,当前主流的白盒模型水印方案存在验证即暴露的问题。验证过程中,所有者对模型内部信息使用权的让渡,会直接导致不可信的第三方或攻击者对模型的滥用,无法达到模型版权保护的初衷。借鉴零知识证明来设计强隐蔽性的白盒模型水印方案或许是解决该问题的潜在技术之一。此外,主流白盒水印方案多侧重于基于卷积神经网络的图像分类任务。后续方案可拓宽应用范围,针对不同模型结构的特点进行调整,提出相适应的白盒模型水印方案。
2. 黑盒模型水印。就黑盒模型水印而言,在迁移学习中攻击者窃取的模型会用于新的任务,现有方法还不能有效解决该场景下的所有权认证;此外,黑盒模型水印的水印容量相对白盒模型水印而言是有限的。因此,如何增强黑盒模型水印在更多真实场景下的鲁棒性以及如何满足大容量需求是值得研究的方向。此外,深度模型版权保护研究可以借鉴相关交叉领域的研究,诸如模型的可解释性、模型或数据的隐私保护、模型或数据的公平性。这些方向与模型版权保护或多或少地存在着一定的联系。例如,对模型训练的数据添加水印是否会带来公平性的问题,模型水印的相关技术是否增加了模型隐私被窃取的风险等。因此,梳理各方向之间的关系,设计可控制可调节的模型版权保护技术也是一个值得研究的方向。对于可证明的黑盒模型水印而言,对于网络参数修改的限定并不一定符合模型窃取过程中的参数的真实改变情况。窃取模型相对原始模型在什么层面的改变是更容易约束的,利用这些特性变化实现可证明黑盒模型水印也是未来值得研究的方向。
3. 脆弱模型水印。脆弱水印是篡改检测和完整性认证领域重要的主动防御手段。回顾多媒体脆弱水印技术的演进可以看到,该技术从最初的检测是否被篡改发展到能够定位具体篡改位置且定位精度不断提高,然后结合可逆信息隐藏技术发展出能够恢复篡改内容的脆弱水印。就多媒体脆弱水印而言,首先,具有篡改定位并恢复功能的脆弱水印具有其特有的应用场景和价值,是白盒条件下模型脆弱水印值得研究的课题;其次,设计和验证能够对模型篡改分级、检测模型不同篡改程度的半脆弱水印是值得研究的另一个课题;最后,现有的脆弱水印算法大都是面向分类网络,面向生成式网络等其他任务的人工智能模型脆弱水印也是值得期待的研究。
作者简介
吴汉舟,男,上海大学通信与信息工程学院副教授,主要研究方向为信息隐藏。
E-mail: [email protected]
张新鹏,通信作者,男,上海大学通信与信息工程学院、教授,主要研究方向为多媒体信息安全、人工智能安全和图像处理。
E-mail: [email protected]
张杰,男,中国科学技术大学网络空间安全学院博士,主要研究方向为信息隐藏与人工智能安全。
E-mail: [email protected]
李越,女,华侨大学计算机科学与技术学院博士,主要研究方向为信息隐藏与人工智能安全。
E-mail: [email protected]
殷赵霞,女,华东师范大学通信与电子工程学院教授,主要研究方向为信息隐藏与人工智能安全。
E-mail: [email protected]
田晖,男,华侨大学计算机科学与技术学院教授,主要研究方向为信息隐藏、人工智能安全和云计算安全。
E-mail: [email protected]
李斌,男,深圳大学电子与信息工程学院教授,主要研究方向为多媒体取证、多媒体安全和信息隐藏。
E-mail: [email protected]
张卫明,男,中国科学技术大学网络空间安全学院教授,主要研究方向为信息隐藏与人工智能安全。
E-mail: [email protected]
俞能海,男,中国科学技术大学网络空间安全学院教授,主要研究方向为多媒体内容安全。
E-mail: [email protected]
专委会简介
中国图象图形学学会数字媒体取证与安全专业委员会所涉及的主要专业内容包括:数字媒体内容安全,数字媒体服务安全与隐私保护,数字媒体系统安全,数字媒体网络安全,人工智能相关的媒体内容安全技术,以及在数字媒体发展过程中出现的各类新兴安全技术;云计算取证技术,物联网取证,智能终端取证,社交网络取证,电子商务取证,网络金融取证技术,反取证技术,数据挖掘技术在计算机取证中的应用,人工智能技术在计算机取证中的应用,电子取证的法律和技术标准,电子证据鉴定技术和规范,声像资料鉴定技术和规范等。
| 主任 | 俞能海 | 中国科学技术大学 | 教授 |
| 副主任 | 丁丽萍 | 中国科学院软件研究所 | 研究员 |
| 黄继武 | 深圳大学 | 教授 | |
| 张新鹏 | 复旦大学 | 教授 | |
| 周琳娜 | 北京邮电大学 | 教授 | |
| 秘书长 | 周琳娜 | 北京邮电大学 | 教授 |