本發明公開了一種基于模型水印的深度學習模型中毒防御方法，所述方法包括如下步驟：收集圖片數據集并分類，針對每一類圖片數據集制作相對應的水印圖片；利用水印嵌入器，將圖片數據集中的原圖片域A與水印組合成新圖片域A+，利用嵌入損失函數對水印嵌入器進行訓練；利用分類損失函數訓練得到分類模型，分類模型對圖片進行分類，且將新圖片域A+、A輸入到分類模型在指定的一層的特征圖中得到并對應保存特征區域T+、T；利用提取損失函數訓練得到水印提取器，將特征區域T和T+輸入到水印提取器中對水印進行提取；根據分類模型對圖片進行的分類結果以及水印提取器中水印的提取結果進行加權后預測結果。

技術領域

本發明涉及深度學習安全領域，特別涉及一種基于模型水印的深度學習模型中毒防御方法。

背景技術

隨著人工智能技術的不斷發展，深度學習的研究成果在自然語言處理、圖像識別、工業控制、信號處理、安全等領域得到廣泛應用。但是深度學習若在自動駕駛、軍事作戰、輿論戰等安全領域的數據或算法存在漏洞，則將帶來重大的人身傷害和財產損失。例如，僅2018年全球就發生了12起自動駕駛車禍。

深度學習是目前人工智能機器學習最常用的技術之一，目前針對深度學習的攻擊可以根據攻擊的階段分為對抗攻擊和中毒攻擊。對抗攻擊發生在模型測試階段，攻擊者通過在原始數據上添加精心設計的微小擾動得到對抗樣本，從而對深度學習模型進行愚弄，使其以較高置信度誤判的惡意攻擊。中毒攻擊發生在模型訓練階段，攻擊者將中毒樣本注入訓練數據集，從而在訓練完成的深度學習模型中嵌入后門觸發器，在測試階段輸入毒藥樣本，則觸發攻擊爆發。

目前對于中毒攻擊的防御方法可以根據作用階段分為：數據及特征修改、模型修改、輸出防御三類。數據及特征修改主要是指在數據或者特征輸入模型之前對其進行預處理,從而達到防御的效果；模型防御是指對模型進行修改從而實現防御效果；輸出防御是指通過對模型的輸出結果進行分析,從而實現防御的效果。

現還有一種對深度學習版權的保護方法：模型水印；具體來說，在目標模型的后面加入一個特殊的與任務無關的水印模塊，在目標模型的輸出中嵌入一個統一的、不可見的水印；當攻擊者利用帶有水印的模型輸出訓練替代模型時，不可見水印將被嵌入到該替代模型中；當用這個替代模型進行圖像處理任務時，在輸出中就會帶有水印，那么就能夠證明該模型是一個替代模型即對原模型進行了模型替代攻擊。這是模型水印在模型版權保護上的應用，同樣的道理我們可以做些改變把它用到模型中毒攻擊的防御上。

發明內容

為解決現有技術中存在的問題，本發明提供一種基于模型水印的深度學習模型中毒防御方法，提高了對模型防御中毒攻擊的保護，使得模型在面對中毒攻擊是具有更強的魯棒性。

一種基于模型水印的深度學習模型中毒防御方法，所述方法包括如下步驟：

收集圖片數據集并分類，針對每一類圖片數據集制作一種相對應的水印圖片；

利用水印嵌入器，將圖片數據集中的原圖片域A與水印組合成新圖片域A+，利用嵌入損失函數對嵌入器進行訓練；

利用分類損失函數訓練得到分類模型，分類模型對圖片進行分類，且將新圖片域A+輸入到分類模型在指定的一層的特征圖中得到并保存特征區域T+，將原圖片域A輸入到分類模型在指定的一層的特征圖中得到并保存特征區域T；

利用提取損失函數訓練得到水印提取器，將特征區域T和T+輸入到水印提取器中對水印進行提取；

根據分類模型對圖片進行的分類結果以及水印提取器中水印的提取結果進行加權后預測結果。

具體的，將新圖片域A+輸入到分類模型中將網絡的第三層的特征圖中得到并保存特征區域T+，將原圖片域A輸入到分類模型中將網絡的第三層的特征圖中得到并保存特征區域T

優選的，所述水印嵌入后利用判別器判別圖片域為A或A+。

具體的，判別器使用LeNet網絡。