IBM为神经网络模型添加水印,防止珍贵研究成果被盗

高层速读

关键信息:任何有价值的东西都有被偷的可能性,IBM正在申请的专利可以给深度神经网络模型打水印,来保证花费大量人力物力研发的成果不被盗,IBM共研发了3种算法,在特定的测试集中完全有效,IBM计划在公司产品上使用,并逐渐推荐给用户。

关键意义:“第一次有了一种强有力的方法来证明有人偷了模型,深度神经网络很难建造,任何有价值的东西都会有被偷的可能,包括神经网络。”

假货是一个令所有企业都头疼的问题,

拼多多最近也因为这事被美国一企业起诉,

虽然事情真假还未见分晓,

但假货问题却在每个行业中都存在,

包括人工智能领域。

想一想,

如果团队研究了几个月甚至是数年的算法模型被拿走了怎么办?

现在守护好代码已经不足够了,

最好的方法是:给自家的模型打上水印

即使别人拿走了也用不了。

IBM最近就在做这样的事情。像是给自己制作的视频、图片打水印一样,IBM新申请的专利可以给AI模型打水印

他们的概念最近在韩国举行的ACM亚洲计算机与通信安全会议(ASIACCS)上发布了,可能首先在IBM内部部署,然后将来逐步推向客户。

IBM的认知网络安全智能经理斯托克林说:“我们第一次有了一种强有力的方法来证明有人偷了模型。深度神经网络模型需要强大的计算机、神经网络专业知识和训练数据,然后才能拥有一个高度精确的模型。它们很难建造,所以它们很容易被偷。任何有价值的东西都会有被偷的可能,包括神经网络。”

研究人员开发了三种算法来生成三种相应类型的水印:一种将“有意义的内容”与算法的原始训练数据结合在一起,作为水印嵌入到受保护的DNN中;将不相关的数据样本作为水印嵌入到受保护的DNN中,以及将噪声作为水印嵌入受保护的DNN中。

该团队测试了三种嵌入算法,其中包括使用MNIST数据集、一个包含6万个训练图像和1万个测试图像的手写数字识别数据集,以及包含5万个训练图像和1万个测试图像的对象分类数据集CIFAR10。

结果是,斯托克林说,所有这些都是“100%有效的”

但是这在线下模式上行不通,尽管斯特克林指出,在这些情况下,抄袭的动机更少,因为这些模型不能被货币化,水印框架也无法保护DNN模型不被预测API窃取,攻击者可以利用结果中的查询访问和机密性之间的张力来学习机器学习模型的参数。

但该团队仍在继续改进该方法,它将走向生产,最终商业化。

「AI商业报道」现已入驻

知乎号 | 头条号 | 百家号 | 网易号 | ZAKER

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180723B1OLKR00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励