在刚刚结束的IJCAI2021大会上,“深度学习模型知识产权保护国际研讨会(DeepIPR-IJCAI'21)”正式召开。本次研讨会由马来西亚微众银行主办,莱雅大学、香港科技大学、上海交通大学联合主办。机器学习,尤其是深度神经网络(DNN)技术,近年来在许多领域取得了巨大的成功。许多科技公司已经在商业产品中部署神经网络模型以提高效率。训练高级神经网络模型需要大规模的数据集、庞大的计算资源和设计者的聪明才智。这具体体现在:(1)深度学习模型使用的训练模型庞大。以GPT-3为例,预训练使用的数据量达到45TB,训练成本超过1200万美元,经济成本非常高。(2)在深度学习模型训练和部署到行业应用场景(如智慧金融、智慧医疗应用)的过程中,需要引入金融、医疗等领域的专有先验知识。因此,有必要在模型设计过程中引入专家知识和知识。基于经验的定制模型,体现了人类脑力的知识产权。(3)深度学习模型的训练过程需要特定领域的海量数据作为训练资源,具有数据本身的价值和知识属性。以上属性决定了一个训练好的深度学习模型具有很高的商业价值和知识产权属性,必须纳入合法所有者(即创造者)的知识产权。因此,保护??深度神经网络(DNN)模型不被非法复制、重新分发或滥用在技术上迫在眉睫。深度学习模型的知识产权保护是一个跨学科的综合性课题,涉及计算机安全、人工智能理论与方法、知识产权保护、法律等诸多方面。对于深度学习模型的盗用、非法复制、分发,攻击者可以使用技术或非技术手段;但要确认模型是否被盗用并宣告模型归属,还需要从技术层面提取证据,从法规归属的角度对模型进行真伪验证。具体来说,(1)从计算机安全的角度,技术手段需要采用密码学上的可信协议,确保模型的知识产权验证和发布过程严谨可信;(2)从人工智能理论和方法的角度,模型的所有权认证技术需要在不牺牲模型可用性的前提下,提供可靠、稳健的知识产权保护方法;(3)在监管层面,从技术层面提取模型权属证据后,这些证据可以成为模型权属依据的证明。最终,监管者将通过法规的保护来确定模型所有者的知识产权,这就需要相关法规来指导如何从技术标准上确定模型所有权。据笔者所知,目前还没有专门针对深度学习模型知识子领域的相关立法。示范知识产权保护不仅需要科技工作者的参与,更需要知识产权保护领域工作者的关注和努力。本次研讨会定位于深度神经网络知识产权保护研究的前沿,展示了研究机构和高校实验室在该领域开展的最前沿工作。来自德国、芬兰、马来西亚、中国的八位学者从算法、协议、安全等多个角度分享了他们在深度学习模型知识产权保护方面的思考和工作。Talk1,南京航空航天大学薛明富老师以《DNN Intellectual Property Protection: Taxonomy, Attacks and Evaluations》为主题进行了讲座。他从模型场景、保护机制、保护能力、目标模型等维度对深度学习模型保护方法进行了分类总结,对模型知识产权保护研究进行了梳理,总结了现有方法、存在的攻击和挑战,并给出了系统评估的相关建议。本次讲座总结了模型保护领域的研究现状和发展脉络。德国弗劳恩霍夫AISEC研究所的FranziskaBoenisch也分享了从神经网络水印技术角度对模型知识产权保护的回顾。Franziska从神经网络水印技术需求、算法应用、威胁模型等角度回顾了现有的研究工作,以神经网络水印技术的可用性、鲁棒性、可靠性和完整性为主线,回顾了现有研究串联工作。一些关于模型水印的研究指出,现有研究存在几大问题有待解决,包括缺乏主动保护机制、算法数据类型的案例有限、司法保护与技术研究的融合等。作为深度学习模型知识产权保护资深研究员,毕业于马来亚大学、微众银行AI项目组算法研究员的吴锦和分享了他使用数字护照保护知识产权的方法模特的权利。KamWohNg分析了神经网络模型知识产权保护研究的最新进展,发现一种旨在通过伪造水印对所有权验证产生疑虑的模糊攻击会影响各种基于水印的DNN所有权验证方法的性能。知识产权保护构成严重威胁。针对上述安全漏洞,KamWohNg提出了一种新颖的基于数字护照的DNN所有权验证方案,该方案对网络剪枝和微调等修改具有鲁棒性,能够抵抗模糊攻击。嵌入数字护照的关键是设计和训练DNN模型,使原始DNN的性能在使用假护照时大大降低。也就是说,真实的数字护照不仅可以根据预定义的数字签名进行验证,还可以根据DNN模型的工作性能进行识别。KamWohNg详细分享了如何使用数字护照来保护DNN并抵御混淆攻击。KamWohNg的Passport模型保护方法提供了一大类通用模型保护思路。在本次研讨会上,其他研究人员还分享了模型水印方法在图像生成、图像概览等模型中的具体应用。.来自马来西亚马来亚大学的DingShengOng,分享了一场名为《Protecting Intellectual Property of Generative Adversarial Networks From Ambiguity Attacks(GAN 的知识产权保护方法)》的讲座,关于图像生成的深度学习模型。虽然已有针对卷积神经网络(CNN)的知识产权保护方法,但它们不能直接应用于生成对抗网络(GAN),这是另一种广泛用于生成逼真图像的深度学习模型。因此,本文提出了一种基于黑盒和白盒的GAN模型IPR保护方法。实验结果表明,该方法不会损害GAN的固有性能(例如图像生成、图像超分辨率和样式转换)。该方法还可以抵抗嵌入式水印去除和歧义攻击。在分享中,讲解了如何保护基于黑盒和白盒方法的对抗生成网络(GANs),以及如何抵御各种水印攻击。来自马来西亚马来亚大学的JianHanLim,带来了关于图像字幕的神经网络模型的分享。JianHanLim指出,现有的深度神经网络知识产权(IPR)保护通常i)仅关注图像分类任务,并且ii)遵循标准数字水印框架,这些框架通常用于保护多媒体和视频内容的所有权.JianHanLim证明当前的数字水印框架不足以保护图像注释任务,而图像注释通常被视为人工智能的前沿之一。作为补充,本文研究并提出了递归神经网络中两种不同的签名水印嵌入方案。从理论和实证的角度证明,伪造密钥会产生无法使用的图像标注模型,从而阻止版权侵权。这项工作是第一个为图像字幕任务提出所有权保护的工作。此外,大量实验表明,所提出的方法不会影响Flickr30k和MS-COCO数据集上所有常见字幕指标的原始图像标注任务的性能,同时它可以抵抗消歧攻击和消歧攻击。对于深度学习常见的任务和模型,已经有如上所示的多种神经网络保护算法案例提供算法支持。那么如何设计一个可行的通信协议来指导模型所有权验证的实际执行呢?来自上海交通大学的李芳琪分享了主题《Regulating Ownership Verification for Deep Neural Networks: Scenarios, Protocols, and Prospects》关于模型所有权验证的场景、协议和前景。李芳琪表示,随着深度神经网络的广泛应用,将其作为知识产权保护的必要性已经显而易见,研究人员提出了很多水印方案来识别深度神经网络的所有者并验证所有权。然而,大多数研究都集中在水印嵌入而不是可证明的可验证协议上。为了弥合这些建议与现实世界需求之间的差距,FangqiLi在所有权证明、联邦学习和知识产权转移三个场景中介绍了深度学习模型的知识产权保护,展示了已建立的密码原语与人工智能设置之间的结合,这可以形成实用和可证明的机器学习安全性的基础。现有的深度学习模型知识产权保护方法主要集中在深度神经网络水印的算法实践和鲁棒性挑战上。目前还没有将模型水印算法应用于分布式神经网络训练的研究。上海交通大学李博文和微众银行AI项目组带来了名为《联邦深度学习模型所有权保护》的讲座:考虑一个不完备的信任联邦学习系统,假设所有参与者都可以按照联邦规则进行模型更新和协同训练,但不透露私有本地数据和私有签名。在此背景下,李博文阐述了一种新颖的联邦深度神经网络(FedDNN)所有权验证方案,允许嵌入和验证所有权签名以声明FedDNN模型的合法知识产权(IPR),以防模型被非法复制、再分发,或误用。嵌入式所有权签名的有效性在理论上可以通过证明签名可以被多个客户端嵌入和检测而不暴露私人签名的条件来证明。最后,来自芬兰阿尔托大学的BuseAtli带来了题为《Model Stealing and Ownership Verification of Deep Neural Networks》的综合分享。最近的一些工作表明,从技术层面上,人们暂时无法完全阻止深度学习模型窃取攻击,不同的模型窃取检测和预防机制要么无法对抗强大的对手,要么对模型性能产生负面影响以及良性用户的效用。因此,模型所有者可以通过证明被盗模型的所有权来减少此类攻击的动机,而不是防止模型本身被盗。已经提出了各种模型水印方案用于可靠的所有权验证,水印深度神经网络(DNN)在学术界引起了相当大的研究兴趣(特别是在图像分类方面),因为深度学习模型水印易于部署并且对模型性能的影响可以忽略不计.此外,学术界针对DNN水印技术提出了多种不同的攻击方法,对其鲁棒性提出了质疑。在本次演讲中,Buse介绍了不同模型窃取攻击的相关工作,动态对抗水印(DAWN)作为对模型窃取的威慑,以及联邦学习中的模型水印(WAFFLE)针对不同的安全和隐私需求分析这些方法。汇聚顶尖学者,聚焦深度学习模型知识产权保护领域,DeepIPR-IJCAI’21已成为全球模型保护领域最前沿的学术动态窗口。用科技手段解决时代难题,众多行业大咖的干货分享,必将成为当今时代车型知识产权保护领域最有力的助推器。讲座视频回顾及更多信息可在研讨会官网或B站查看官网:http://federated-learning.org/DeepIPR-IJCAI-2021/B站:https://www.bilibili.com/视频/BV1PP4y1W7nS
