本發(fā)明屬于互聯(lián)網(wǎng)技術(shù)領(lǐng)域，具體涉及一種基于后門攻擊的數(shù)據(jù)集保護和驗證方法，包括下列步驟：根據(jù)實際需求設(shè)置水印γ的比例；根據(jù)γ劃分原始數(shù)據(jù)集為良性樣本數(shù)據(jù)集D_benign和攻擊樣本數(shù)據(jù)集D_attack；劃分后所得的攻擊樣本數(shù)據(jù)集D_attack添加水印，得到處理后的攻擊樣本數(shù)據(jù)集D_modified；將處理后的攻擊樣本數(shù)據(jù)集D_modified與良性樣本數(shù)據(jù)集D_benign混合，得到水印數(shù)據(jù)集D_watermarked。本發(fā)明使用在部分樣本上添加觸發(fā)器的方式設(shè)置攻擊樣本，這使得在水印數(shù)據(jù)集上用標準的訓(xùn)練過程訓(xùn)練模型時，能在保持對良性樣本的預(yù)測精度的同時指定隱藏的后門。本發(fā)明用于數(shù)據(jù)集的保護。

技術(shù)領(lǐng)域

本發(fā)明屬于互聯(lián)網(wǎng)技術(shù)領(lǐng)域，具體涉及一種基于后門攻擊的數(shù)據(jù)集保護和驗證方法。

背景技術(shù)

近年來，深度神經(jīng)網(wǎng)絡(luò)在各個領(lǐng)域都取得了較為廣泛的應(yīng)用。其中數(shù)據(jù)集，特別是高質(zhì)量的開源數(shù)據(jù)集是深度神經(jīng)網(wǎng)絡(luò)繁榮的關(guān)鍵因素。這些開源數(shù)據(jù)集讓研究人員可以很容易地驗證他們的算法或模型的有效性，而這一過程反過來又加速了深度學(xué)習(xí)的發(fā)展。數(shù)據(jù)集的收集耗費了大量資源，其價值不言而喻，所以現(xiàn)有的開源數(shù)據(jù)集基本都要求它們只能用于學(xué)術(shù)或教育目的，而不能用于商業(yè)目的?；诖吮尘?，已經(jīng)有人提出了一些數(shù)據(jù)集保護技術(shù)，如匿名化、加密和水印方法進行數(shù)據(jù)集保護，它們的目的是防止未經(jīng)授權(quán)的用戶訪問數(shù)據(jù)集。

然而，以上所提到的數(shù)據(jù)集保護方法卻并不適合保護開源數(shù)據(jù)集。因為許多開源數(shù)據(jù)集對每個人都是開放訪問的，唯一的要求是它們只能用于學(xué)術(shù)或教育目的。因此，保護開源數(shù)據(jù)集的主要問題是驗證它是否被用于訓(xùn)練第三方模型。

發(fā)明內(nèi)容

針對上述數(shù)據(jù)集保護方法不適合保護開源數(shù)據(jù)集的技術(shù)問題，本發(fā)明提供了一種效率高、可靠性強、實用性廣的基于后門攻擊的數(shù)據(jù)集保護方法。

為了解決上述技術(shù)問題，本發(fā)明采用的技術(shù)方案為：

一種基于后門攻擊的數(shù)據(jù)集保護和驗證方法，包括下列步驟：

S1、根據(jù)實際需求設(shè)置水印γ的比例；

所述γ越小，則代表包含水印的數(shù)據(jù)所占比重越小，水印設(shè)置的越隱蔽，所述D_attack為攻擊樣本數(shù)據(jù)集，所述D_train為原始數(shù)據(jù)集；

S2、根據(jù)S1所得的γ劃分原始數(shù)據(jù)集為良性樣本數(shù)據(jù)集D_benign和攻擊樣本數(shù)據(jù)集D_attack；

所述x_i為輸入數(shù)據(jù)，y_i為輸出標簽，且x_i∈{0,…,255}^C×W×H，y_i＝{1,…,K}；

S3、為S2中劃分后所得的攻擊樣本數(shù)據(jù)集D_attack添加水印，得到處理后的攻擊樣本數(shù)據(jù)集D_modified；

S4、將處理后的攻擊樣本數(shù)據(jù)集D_modified與良性樣本數(shù)據(jù)集D_benign混合，得到水印數(shù)據(jù)集D_watermarked

所述D_watermarked＝D_benign∪D_modified。

所述S3中攻擊樣本數(shù)據(jù)集D_attack添加水印的方法為：

S3.1、設(shè)置y_t＝{1,…,K}和t∈{0,…,255}^C×W×H分別為目標標簽和指定的觸發(fā)器；