袁程勝，郭強(qiáng)，付章杰

（1.南京信息工程大學(xué)計(jì)算機(jī)學(xué)院、軟件學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院，江蘇 南京 210044；2.南京信息工程大學(xué)數(shù)字取證教育部工程研究中心，江蘇 南京 210044）

0 引言

隨著大數(shù)據(jù)技術(shù)和數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展，互聯(lián)網(wǎng)每天都會(huì)產(chǎn)生海量的數(shù)據(jù)，部分?jǐn)?shù)據(jù)不僅關(guān)系到個(gè)人隱私權(quán)益，還會(huì)涉及國(guó)家安全和社會(huì)公共利益。為了避免敏感隱私數(shù)據(jù)外泄，對(duì)其進(jìn)行安全訪問(wèn)至關(guān)重要。生物識(shí)別技術(shù)（借用人體生理或行為特性）作為一種新穎的身份識(shí)別模式，逐漸替代傳統(tǒng)的密碼驗(yàn)證。在現(xiàn)有的生物特征中，指紋因具有唯一性、穩(wěn)定性和長(zhǎng)久不變性的特性，應(yīng)用更普及。截至2021 年，指紋識(shí)別占據(jù)全球生物識(shí)別的大部分市場(chǎng)份額[1]。但是，該技術(shù)存在嚴(yán)重的安全隱患，借助硅膠、樹(shù)脂、明膠等材料偽造的指紋能夠成功欺騙指紋識(shí)別系統(tǒng)。因此，偽造指紋[2]檢測(cè)技術(shù)被提出。

近些年，隨著機(jī)器學(xué)習(xí)尤其是深度學(xué)習(xí)的迅速發(fā)展，人工智能技術(shù)被廣泛應(yīng)用在無(wú)人駕駛[3-4]、計(jì)算機(jī)視覺(jué)[5-6]、自然語(yǔ)言處理[7-8]等領(lǐng)域，基于深度學(xué)習(xí)的深度偽造指紋檢測(cè)方法[9]也相繼被提出。但是，訓(xùn)練一個(gè)鑒別指紋真假的模型除依賴超強(qiáng)的算力和專業(yè)的領(lǐng)域知識(shí)外，還需要海量?jī)?yōu)質(zhì)指紋數(shù)據(jù)的加持，并且一旦模型濫用勢(shì)必會(huì)導(dǎo)致用戶隱私的泄露和知識(shí)產(chǎn)權(quán)侵犯風(fēng)險(xiǎn)，對(duì)訓(xùn)練好的深度偽造指紋檢測(cè)模型進(jìn)行版權(quán)保護(hù)迫在眉睫。

深度偽造指紋檢測(cè)（后文簡(jiǎn)稱為深偽檢測(cè)）模型在確保指紋識(shí)別系統(tǒng)完整和隱私數(shù)據(jù)安全訪問(wèn)方面的作用是無(wú)法替代的[10-12]，尤其是對(duì)具有較高隱私的深偽檢測(cè)模型的保護(hù)極為重要。現(xiàn)有的知識(shí)產(chǎn)權(quán)保護(hù)對(duì)象更多是新媒體內(nèi)容，鮮有對(duì)深偽檢測(cè)模型版權(quán)保護(hù)的研究，并且無(wú)法直接將現(xiàn)有方法用于深偽檢測(cè)模型的版權(quán)保護(hù)任務(wù)中。文獻(xiàn)[13]提出一種構(gòu)造零比特水印的版權(quán)保護(hù)方法，當(dāng)模型所有者對(duì)知識(shí)產(chǎn)權(quán)和經(jīng)濟(jì)利益產(chǎn)生糾紛時(shí)，可調(diào)用遠(yuǎn)程應(yīng)用程序接口（API,application programming interface）來(lái)獲得模型的訪問(wèn)權(quán)限，并通過(guò)遠(yuǎn)程操作從神經(jīng)網(wǎng)絡(luò)模型中提取嵌入的水印實(shí)現(xiàn)版權(quán)驗(yàn)證，通過(guò)對(duì)抗訓(xùn)練操作生成觸發(fā)集以調(diào)整分類決策邊界，并依據(jù)觸發(fā)集輸出的特定標(biāo)簽對(duì)模型版權(quán)歸屬進(jìn)行驗(yàn)證。該方法在MNIST 數(shù)據(jù)集上表現(xiàn)出較好的性能，而對(duì)指紋數(shù)據(jù)集保護(hù)的效果如何有待考究。文獻(xiàn)[14]提出一種抗偽造攻擊的神經(jīng)網(wǎng)絡(luò)水印協(xié)議，通過(guò)引入單向哈希函數(shù)，確保所有權(quán)的觸發(fā)樣本形成單向鏈，且觸發(fā)樣本的標(biāo)簽也被賦值，其認(rèn)為攻擊者無(wú)法擁有訓(xùn)練權(quán)限，因此該協(xié)議能夠抵擋偽造攻擊。但是現(xiàn)實(shí)中，攻擊者通過(guò)非法手段能夠獲得模型的訓(xùn)練權(quán)限，該方法將不適用。文獻(xiàn)[15]提出一種深度模型的分發(fā)機(jī)制，能夠?yàn)橛脩籼峁┓值燃?jí)的服務(wù)，但是當(dāng)用戶與攻擊者發(fā)動(dòng)合謀攻擊后，該模型將會(huì)被攻擊者竊取和非法使用。

針對(duì)神經(jīng)網(wǎng)絡(luò)模型知識(shí)產(chǎn)權(quán)侵權(quán)問(wèn)題，本文提出了一種基于差分隱私的深度偽造指紋檢測(cè)模型版權(quán)保護(hù)算法。首先，通過(guò)構(gòu)建的觸發(fā)集微調(diào)模型的分類決策邊界以建立后門(mén)，實(shí)現(xiàn)模型版權(quán)的被動(dòng)驗(yàn)證。然后，為了最小化原始任務(wù)在非觸發(fā)集中的誤差，在深偽檢測(cè)模型中設(shè)計(jì)一個(gè)噪聲層模塊，充分利用差分隱私算法的期望穩(wěn)定性進(jìn)行分類決策，讓模型在訓(xùn)練時(shí)降低對(duì)噪聲的敏感度。當(dāng)模型授權(quán)給用戶后，攻擊者與用戶發(fā)動(dòng)合謀攻擊，以非法獲得使用權(quán)，此時(shí)僅需通過(guò)給模型嵌入的后門(mén)來(lái)驗(yàn)證模型版權(quán)。即使攻擊者偽造一批與觸發(fā)集樣本同分布的數(shù)據(jù)來(lái)混淆模型版權(quán)，所有者依然可通過(guò)給觸發(fā)集加蓋時(shí)間戳的方式，抵抗混淆版權(quán)的惡意攻擊。本文的主要貢獻(xiàn)如下。

1) 提出一種主動(dòng)保護(hù)和被動(dòng)驗(yàn)證相結(jié)合的深度偽造指紋檢測(cè)模型版權(quán)保護(hù)框架。主動(dòng)保護(hù)通過(guò)設(shè)計(jì)一組訪問(wèn)權(quán)限，利用概率選擇策略將凍結(jié)的關(guān)鍵性神經(jīng)元進(jìn)行不同程度的解凍，以實(shí)現(xiàn)對(duì)該模型的授權(quán)分發(fā)和用戶的身份管理。即使攻擊者與用戶發(fā)動(dòng)合謀攻擊，所有者依然可以通過(guò)后門(mén)映射關(guān)系來(lái)進(jìn)行版權(quán)的被動(dòng)驗(yàn)證。

2) 改進(jìn)了傳統(tǒng)的決策邊界微調(diào)算法。通過(guò)給深度偽造指紋檢測(cè)模型引入隨機(jī)性，借助差分隱私算法的期望穩(wěn)定性進(jìn)行分類決策，以降低模型對(duì)噪聲的敏感度，從而讓模型的分類決策邊界更加穩(wěn)定。確保在后門(mén)嵌入時(shí)，決策邊界不會(huì)發(fā)生大幅變化而影響原始任務(wù)。

3) 在3 個(gè)公開(kāi)的指紋數(shù)據(jù)集上進(jìn)行了性能測(cè)試，實(shí)驗(yàn)結(jié)果表明，主動(dòng)保護(hù)并不會(huì)影響后門(mén)驗(yàn)證，對(duì)于不同模型任務(wù)后門(mén)依然有效，嵌入的后門(mén)對(duì)模型修改同樣具有穩(wěn)健性。此外，所提算法能夠抵擋攻擊者發(fā)起的合謀攻擊，也能夠抵擋模型修改帶來(lái)的微調(diào)、壓縮等常見(jiàn)攻擊。

1 模型版權(quán)保護(hù)算法分類

通過(guò)對(duì)現(xiàn)有模型版權(quán)算法進(jìn)行歸納發(fā)現(xiàn)[16]，主要分為三類，即白盒水印算法、黑盒水印算法和無(wú)盒水印算法。白盒水印算法實(shí)現(xiàn)流程如圖1 所示，利用白盒水印進(jìn)行版權(quán)驗(yàn)證時(shí)，所有者能夠訪問(wèn)模型的結(jié)構(gòu)和參數(shù)，通過(guò)修改神經(jīng)網(wǎng)絡(luò)模型的權(quán)值實(shí)現(xiàn)水印的嵌入和提取。黑盒水印算法實(shí)現(xiàn)流程如圖2所示，在無(wú)法獲悉神經(jīng)網(wǎng)絡(luò)模型的結(jié)構(gòu)和參數(shù)時(shí)，通過(guò)生成的觸發(fā)集讓模型輸出預(yù)期的分類結(jié)果，以實(shí)現(xiàn)水印的提取和對(duì)比。無(wú)盒水印算法實(shí)現(xiàn)流程如圖3所示，利用生成式模型讓輸出的圖像中含有水印。在版權(quán)驗(yàn)證時(shí)，利用提取網(wǎng)絡(luò)完成水印的提取和版權(quán)歸屬驗(yàn)證。

圖1 白盒水印算法實(shí)現(xiàn)流程

圖2 黑盒水印算法實(shí)現(xiàn)流程

圖3 無(wú)盒水印算法實(shí)現(xiàn)流程

1.1 白盒水印算法

Uchida 等[11]在2017 年首次提出模型水印的概念。在訓(xùn)練過(guò)程中，利用構(gòu)造的投影矩陣將水印植入模型權(quán)重中，通過(guò)提取網(wǎng)絡(luò)實(shí)現(xiàn)水印信息的提取和版權(quán)驗(yàn)證。具體實(shí)現(xiàn)過(guò)程如下，首先，隨機(jī)選擇某一卷積層進(jìn)行平均操作，并將其轉(zhuǎn)化成一維向量；然后，將投影矩陣與一維向量的乘積輸入激活函數(shù)中，構(gòu)造一個(gè)二值比特流；最后，將水印轉(zhuǎn)化成二進(jìn)制向量，利用交叉熵?fù)p失函數(shù)最小化水印信息和激活后的二值比特流，以實(shí)現(xiàn)模型水印信息的植入。水印驗(yàn)證是將投影矩陣與權(quán)重執(zhí)行乘法操作，利用階躍函數(shù)進(jìn)行水印提取，通過(guò)與嵌入的二值水印信息進(jìn)行對(duì)比實(shí)現(xiàn)模型版權(quán)的歸屬確權(quán)。若權(quán)重變化幅度較大，便能檢測(cè)到水印的存在。因此，Kuribayashi 等[17]提出了一種基于全連接層權(quán)重的量化水印嵌入方法，該方法通過(guò)在訓(xùn)練過(guò)程改變模型參數(shù)，量化水印對(duì)模型的影響，從而確保植入的水印引起的參數(shù)變化很小。

Rouhani 等[18]提出一種通用水印版權(quán)保護(hù)方案，將其命名為DeepSigns。DeepSigns 能夠生成一個(gè)受保護(hù)的神經(jīng)網(wǎng)絡(luò)模型，模型所有者設(shè)計(jì)一個(gè)水印簽名，將其植入不同激活圖的概率密度函數(shù)中，并使用密鑰記錄嵌入位置。當(dāng)版權(quán)驗(yàn)證時(shí)，首先通過(guò)密鑰獲取水印的位置信息；然后提取水印簽名；最后比較所提取水印與真實(shí)簽名之間的誤差，若小于閾值，則提取成功。Feng 等[19]提出一種帶有補(bǔ)償機(jī)制的水印嵌入方案，為了讓嵌入的水印位置更隱蔽，抵抗覆寫(xiě)攻擊，選取隨機(jī)權(quán)重；然后將權(quán)重進(jìn)行正交變換，并通過(guò)二值化操作向系數(shù)中嵌入水印，再通過(guò)逆正交變換得到新的含水印的權(quán)重；最后使用其他權(quán)重作為補(bǔ)償來(lái)微調(diào)模型，以消除二值化對(duì)性能的影響。

Fan 等[20]指出，現(xiàn)有的水印算法易受到偽造攻擊。為此，他們提出一種基于護(hù)照的水印策略，即讓預(yù)先訓(xùn)練好的模型在正確的護(hù)照下保持任務(wù)性能。當(dāng)面對(duì)偽造或修改的護(hù)照，原始任務(wù)性能會(huì)大幅下降。該方法在不同卷積層后添加了一個(gè)護(hù)照層，類似于歸一化層，區(qū)別在于護(hù)照層的權(quán)重和偏置由特殊的護(hù)照決定，而歸一化層的權(quán)重和偏置是為了保證中間層的變化幅度不能過(guò)大而抵消部分歸一化操作對(duì)模型的影響。因?yàn)槟Ｐ陀?xùn)練過(guò)程與護(hù)照緊密耦合在一起，所以模型的性能受到護(hù)照的控制。若攻擊者通過(guò)逆向工程偽造一個(gè)新的護(hù)照來(lái)盜取模型，則必須從頭訓(xùn)練模型。因此，該方法能夠有效抵擋混淆攻擊。文獻(xiàn)[20]僅適用于一些特殊的歸一化層，為了讓歸一化層都植入水印，Zhang 等[21]在原始任務(wù)中引入了一個(gè)護(hù)照感知分支，通過(guò)設(shè)計(jì)一個(gè)秘密護(hù)照讓護(hù)照感知分支與原始模型聯(lián)合訓(xùn)練。僅當(dāng)驗(yàn)證模型版權(quán)的歸屬時(shí)才提供護(hù)照和護(hù)照感知分支，而其他時(shí)候只將原始模型提供給用戶使用。在驗(yàn)證過(guò)程中，正確的護(hù)照能使模型正常工作，偽造護(hù)照則不能。

針對(duì)模型版權(quán)歸屬確權(quán)問(wèn)題，目前的白盒水印算法雖然能夠很好地解決，但是模型內(nèi)部結(jié)構(gòu)信息需要公開(kāi)，攻擊者能夠輕易地訓(xùn)練一個(gè)模型。因此，模型所有者更期望將持有的模型封裝成黑盒，通過(guò)提供API 完成指定任務(wù)。

1.2 黑盒水印算法

Zhang 等[22]提出一種新穎的模型版權(quán)認(rèn)證方法，即黑盒水印算法，并分別給出3 種黑盒水印算法：第一種算法將特定的文本信息嵌入圖像中作為水?。坏诙N算法將無(wú)意義的噪聲嵌入圖像作為水??；第三種算法將不相關(guān)圖像分配錯(cuò)誤標(biāo)簽后作為水印。上述方法均能通過(guò)植入后門(mén)映射關(guān)系實(shí)現(xiàn)模型的版權(quán)歸屬認(rèn)證。Adi 等[23]通過(guò)后門(mén)植入法研究版權(quán)的歸屬問(wèn)題。首先，從原始數(shù)據(jù)中選定部分樣本作為觸發(fā)集，并進(jìn)行標(biāo)記；然后，通過(guò)訓(xùn)練讓模型擬合觸發(fā)樣本的特性。在版權(quán)驗(yàn)證時(shí)，所有者將觸發(fā)樣本輸入API 中，通過(guò)觀察預(yù)測(cè)結(jié)果是否為預(yù)設(shè)的標(biāo)簽。為了降低誤報(bào)率，Guo 等[24-25]提出一種基于進(jìn)化算法的水印生成和黑盒水印優(yōu)化算法，將版權(quán)所有者的簽名植入數(shù)據(jù)集中，使用含簽名信息的數(shù)據(jù)集來(lái)訓(xùn)練一個(gè)神經(jīng)網(wǎng)絡(luò)模型。當(dāng)嵌入簽名的數(shù)據(jù)被輸入時(shí)，預(yù)設(shè)的臨時(shí)模式將會(huì)運(yùn)行，以此驗(yàn)證模型的版權(quán)。Jia 等[26]發(fā)現(xiàn)現(xiàn)有的水印嵌入方法大多與主任務(wù)無(wú)關(guān)，可通過(guò)模型微調(diào)和壓縮來(lái)盜取版權(quán)，為此提出糾纏水印的概念，即將水印嵌入和原始任務(wù)緊密耦合。此外，在后門(mén)植入時(shí)，觸發(fā)集輸出錯(cuò)誤的標(biāo)簽會(huì)導(dǎo)致決策邊界發(fā)生變化，影響原始任務(wù)的性能。Zhong 等[27]設(shè)計(jì)一種全新的黑盒水印算法，在后門(mén)嵌入過(guò)程中，決策邊界并不會(huì)發(fā)生變化。Quan 等[28]設(shè)計(jì)一種用于保護(hù)圖像處理模型的黑盒觸發(fā)式水印，通過(guò)微調(diào)操作使模型改變特定域內(nèi)的預(yù)測(cè)結(jié)果，為了讓微調(diào)后的模型輸出圖像和事先預(yù)定義的圖像接近，將觸發(fā)圖像和初始驗(yàn)證圖像一并輸入模型中訓(xùn)練，用觸發(fā)圖像的預(yù)測(cè)結(jié)果來(lái)更新驗(yàn)證圖像。在驗(yàn)證水印時(shí)，當(dāng)所有者把觸發(fā)圖像輸入模型后，如果輸出結(jié)果與驗(yàn)證圖像相同則驗(yàn)證成功。Ong 等[29]提出一種用于保護(hù)生成對(duì)抗網(wǎng)絡(luò)的水印方法，核心是當(dāng)輸入一個(gè)觸發(fā)圖像時(shí)，模型會(huì)生成一個(gè)包含水印的圖像來(lái)驗(yàn)證版權(quán)。

由于深度模型易遭受數(shù)據(jù)中毒和后門(mén)攻擊的威脅，確保神經(jīng)網(wǎng)絡(luò)模型在部署后的完整性對(duì)黑盒模型極其重要。Zhu 等[30]提出一種基于黑盒的脆弱水印方法來(lái)檢測(cè)惡意微調(diào)，水印處理分為以下3 個(gè)步驟：用戶首先用一個(gè)特定的密鑰來(lái)構(gòu)造一組觸發(fā)集；然后，用交替訓(xùn)練的方式對(duì)訓(xùn)練集和觸發(fā)集進(jìn)行分類；最后，對(duì)訓(xùn)練好的DNN 模型進(jìn)行微調(diào)。

黑盒水印算法是目前主流的模型版權(quán)保護(hù)方法。所有者僅需通過(guò)API 訪問(wèn)遠(yuǎn)程模型便能完成版權(quán)驗(yàn)證，不需要像白盒水印算法那樣將內(nèi)部結(jié)構(gòu)公開(kāi)給第三方。雖然黑盒水印算法提升了模型的安全，但是攻擊者依然可通過(guò)偽造觸發(fā)集的方式混淆版權(quán)。

1.3 無(wú)盒水印算法

無(wú)盒水印算法是一種新穎的、不需要人模交互、不需要獲悉模型細(xì)節(jié)和不需要構(gòu)建特定觸發(fā)集的生成式版權(quán)保護(hù)方法，核心操作是在模型訓(xùn)練損失函數(shù)中引入一個(gè)水印損失項(xiàng)，使輸出樣本中包含水印信息，最終通過(guò)水印提取和比對(duì)實(shí)現(xiàn)模型版權(quán)的歸屬確權(quán)。Zhang 等[31]通過(guò)在模型后引入一個(gè)與原始任務(wù)無(wú)關(guān)的水印模塊，提出一種端到端的水印信息嵌入算法。具體地，在原始任務(wù)后設(shè)計(jì)一個(gè)水印嵌入模塊，通過(guò)迭代優(yōu)化將水印信息嵌入圖像中。為了從水印圖像中提取水印，便于后續(xù)水印比對(duì)和版權(quán)歸屬認(rèn)證，同時(shí)訓(xùn)練一個(gè)由密鑰控制的水印提取子網(wǎng)。當(dāng)攻擊者利用該框架訓(xùn)練的模型進(jìn)行代理模型攻擊時(shí)，表征歸屬的水印信息將被嵌入該代理模型中。此外，還通過(guò)對(duì)抗訓(xùn)練提升模型的穩(wěn)健性，以提高水印防御代理模型攻擊的性能。Wu 等[32]提出一種全新數(shù)字水印框架，設(shè)計(jì)一個(gè)水印損失組合損失函數(shù)來(lái)訓(xùn)練模型，使輸出的圖像中包含一個(gè)定制化的水印信息，后續(xù)神經(jīng)網(wǎng)絡(luò)模型版權(quán)需要?dú)w屬確權(quán)時(shí)，只要通過(guò)檢測(cè)輸出圖像中的水印，便能夠判斷圖像是否來(lái)自該神經(jīng)網(wǎng)絡(luò)模型。實(shí)驗(yàn)結(jié)果顯示，該方法在面對(duì)各種圖像處理操作時(shí)，如圖像著色、超分、編輯及語(yǔ)義分割等，均表現(xiàn)出良好的穩(wěn)健性。

無(wú)盒水印的版權(quán)驗(yàn)證算法是通過(guò)在輸出圖像中植入定制化數(shù)字水印信息來(lái)保護(hù)模型版權(quán)的，為深偽檢測(cè)模型的版權(quán)保護(hù)研究提供了新思路。

2 本文算法

2.1 融合主動(dòng)保護(hù)和被動(dòng)驗(yàn)證的版權(quán)保護(hù)框架

本文提出的融合主動(dòng)保護(hù)和被動(dòng)驗(yàn)證的深偽檢測(cè)模型版權(quán)保護(hù)框架如圖4 所示。其包含以下3 個(gè)功能：第一，可以防止未授權(quán)用戶使用深偽檢測(cè)模型，僅授權(quán)用戶能使用該模型，而未授權(quán)者將會(huì)得到一個(gè)與任務(wù)無(wú)關(guān)的輸出；第二，能夠?qū)ι顐螜z測(cè)模型進(jìn)行分級(jí)保護(hù)，越忠誠(chéng)的用戶獲得的訪問(wèn)等級(jí)越高；第三，當(dāng)攻擊者策反授權(quán)用戶發(fā)起合謀攻擊時(shí)，模型所有者可通過(guò)后門(mén)映射關(guān)系對(duì)該模型進(jìn)行版權(quán)歸屬確權(quán)。

圖4 融合主動(dòng)保護(hù)和被動(dòng)驗(yàn)證的深偽檢測(cè)模型版權(quán)保護(hù)框架

首先，模型所有者將預(yù)訓(xùn)練好的深偽檢測(cè)模型使用后門(mén)嵌入模塊來(lái)微調(diào)決策邊界，讓模型獲得后門(mén)映射關(guān)系。然后，通過(guò)概率選擇模塊篩選模型中的關(guān)鍵性神經(jīng)元，以確保選定的神經(jīng)元不影響后門(mén)觸發(fā)。接著，凍結(jié)模塊將篩選出的關(guān)鍵性神經(jīng)元進(jìn)行凍結(jié)，以降低模型的可用性，讓未授權(quán)用戶無(wú)法使用該任務(wù)模型。最后，分發(fā)模塊對(duì)凍結(jié)模塊中的神經(jīng)元授予不同等級(jí)，依據(jù)授權(quán)等級(jí)從凍結(jié)模塊中解凍不同數(shù)量的神經(jīng)元，以執(zhí)行相應(yīng)的功能，該操作能夠確保最忠誠(chéng)的用戶解凍全部的神經(jīng)元。在上述操作過(guò)程中，模型所有者僅需執(zhí)行一次后門(mén)嵌入模塊、概率選擇模塊和凍結(jié)模塊的調(diào)用操作，當(dāng)用戶需要使用模型時(shí)可以多次調(diào)用分發(fā)模塊。被動(dòng)驗(yàn)證是當(dāng)用戶被攻擊者策反后，導(dǎo)致模型被非法使用時(shí)所采取的事后驗(yàn)證操作。綜上，本文所提的版權(quán)保護(hù)框架能夠?yàn)樯疃葌卧熘讣y檢測(cè)模型提供一個(gè)系統(tǒng)完整和版權(quán)歸屬確權(quán)的解決方案。

2.2 決策邊界的構(gòu)建

本文使用FGSM（fast gradient sign method）[33]生成對(duì)抗性指紋集，并在原始任務(wù)模型上進(jìn)行白盒測(cè)試，當(dāng)模型輸出標(biāo)簽發(fā)生錯(cuò)誤時(shí)，則定義為成功對(duì)手。由于FGSM 通過(guò)逐批添加擾動(dòng)的方式來(lái)生成對(duì)抗性指紋，因此那些測(cè)試錯(cuò)誤的對(duì)抗指紋被視為失敗對(duì)手。選擇失敗對(duì)手作為觸發(fā)集的目的是限制決策邊界[13]，讓成功對(duì)手返回原先正確分類的類別時(shí)變化更少。此外，失敗對(duì)手還具有表征模型邊界形狀的作用，從而提升模型的穩(wěn)健性。決策邊界微調(diào)的前后對(duì)比如圖5 所示，標(biāo)簽T 和標(biāo)簽F分別表示類別為T(mén)rue 和Fake 的成功對(duì)手，而分別表示類別為T(mén)rue 和Fake 的失敗對(duì)手。

圖5 決策邊界微調(diào)的前后對(duì)比

為了實(shí)現(xiàn)深偽檢測(cè)模型的版權(quán)保護(hù)，使用對(duì)抗性指紋的原始標(biāo)簽作為后門(mén)映射關(guān)系進(jìn)行被動(dòng)驗(yàn)證。具體地，利用決策邊界微調(diào)算法讓深度偽造指紋檢測(cè)模型的決策邊界發(fā)生輕微改變，以實(shí)現(xiàn)模型的水印植入。由于觸發(fā)集是由對(duì)抗性指紋構(gòu)成的集合，當(dāng)進(jìn)行決策邊界微調(diào)時(shí)，深偽檢測(cè)模型能夠?qū)W習(xí)到觸發(fā)集圖像中對(duì)抗指紋的特殊特征，使原始任務(wù)輸出錯(cuò)誤結(jié)果。為了解決上述問(wèn)題，受差分隱私和對(duì)抗樣本防御具有一定聯(lián)系[34]的啟發(fā)，讓深偽檢測(cè)模型的決策邊界更加穩(wěn)定，不易受觸發(fā)集的對(duì)抗性擾動(dòng)影響，本文通過(guò)在原始任務(wù)中添加噪聲層，從而在前向傳播過(guò)程中引入隨機(jī)性，使模型能夠利用差分隱私算法的期望穩(wěn)定性進(jìn)行最終的決策，并能夠有效降低深偽檢測(cè)模型對(duì)噪聲的敏感性。此外，還能夠確保在用觸發(fā)集進(jìn)行后門(mén)嵌入的過(guò)程中，決策邊界不會(huì)因?yàn)閿_動(dòng)對(duì)模型的影響而大幅變化。

2.3 噪聲層的構(gòu)建

差分隱私[35]是避免個(gè)人數(shù)據(jù)隱私泄露的一種防御方法，通過(guò)給數(shù)據(jù)添加噪聲以引入隨機(jī)性，使在數(shù)據(jù)集上的任何增加或刪除操作記錄都能被隱藏，用戶無(wú)法通過(guò)查詢的結(jié)果反推出隱私信息。設(shè)D為隨機(jī)算法，輸入域?yàn)閄，輸出域?yàn)镽，任意2 個(gè)相鄰數(shù)據(jù)集x，x′∈X，輸出集合滿足S?R。若x和x′在算法D下滿足式(1)，則稱算法D滿足(ε,)δ-差分隱私。

其中，ε和δ均為控制差分隱私保護(hù)強(qiáng)度的超參數(shù)，ε為隱私預(yù)算，δ為隱私被泄露的概率，P(·) 為算法D的輸出概率。

度量標(biāo)準(zhǔn)ρ用來(lái)表示敏感性，以記錄2 個(gè)查詢之間的不同數(shù)目。在標(biāo)準(zhǔn)的差分隱私中，通常用漢明距離作為度量標(biāo)準(zhǔn)，以使數(shù)據(jù)庫(kù)中單一數(shù)據(jù)的改變不會(huì)大幅修改輸出的分布。而差分隱私也適用于對(duì)抗樣本的范數(shù)度量。本文將深偽檢測(cè)模型的輸入圖像構(gòu)成的樣本視為數(shù)據(jù)庫(kù)，將圖像中的像素視為記錄，以建立起差分隱私與深度偽造指紋檢測(cè)模型之間的聯(lián)系。具體地，本文觸發(fā)集的構(gòu)建是使用FGSM 來(lái)生成對(duì)抗性指紋的，通過(guò)微調(diào)建立后門(mén)映射，利用映射關(guān)系來(lái)驗(yàn)證版權(quán)歸屬。

本文利用了差分隱私的2 個(gè)屬性：1) 后處理性，即差分隱私算法之后模型的輸出結(jié)果仍具有差分隱私的特性；2) 期望穩(wěn)定性，即差分隱私算法之后模型的輸出期望對(duì)輸入的擾動(dòng)變化不敏感。上述屬性能夠使差分隱私與模型的穩(wěn)健性建立明確的聯(lián)系。通過(guò)差分隱私的期望穩(wěn)定性來(lái)進(jìn)行決策，以降低分類決策邊界的敏感性。在執(zhí)行后門(mén)嵌入時(shí)，微小擾動(dòng)對(duì)原始任務(wù)性能并不會(huì)產(chǎn)生太大影響。差分隱私的期望穩(wěn)定性為

其中，α表示添加的擾動(dòng)，D(x) 表示隨機(jī)算法的輸出，且D(x) ∈[ 0,1]。為了驗(yàn)證差分隱私的屬性2)，對(duì)其進(jìn)行如下推理。連續(xù)性隨機(jī)變量的輸出期望為

將式(1)兩邊同時(shí)積分得

其中，δ是常數(shù)，可得

因此，E(D(x)) ≤eεE(D(x+α))+δ得證。

深度偽造指紋檢測(cè)模型的穩(wěn)健性是指模型輸入的輕微改變并不會(huì)影響原始任務(wù)的性能，在基于標(biāo)簽輸出概率的深度偽造指紋檢測(cè)模型中，穩(wěn)健性應(yīng)該滿足

其中，y為模型分類結(jié)果，f和n為標(biāo)簽類別。

本文將檢測(cè)模型SoftMax 層的決策轉(zhuǎn)化為隨機(jī)的D(x)，利用噪聲的輸出期望E(D(x)) 作為決策概率，以挑選最大的概率標(biāo)簽，如式(4)所示。

式(4)為穩(wěn)健性條件，若滿足條件，則輸出期望E(D(x)) 對(duì)微小擾動(dòng)是穩(wěn)健的。證明如下。

證明根據(jù)式(2)可得

式(5)給出了 E(Dn(x+α))的下界，式(6)給出了maxn≠fE(D f(x+α))的上界。式(4)中標(biāo)簽n的期望值下限嚴(yán)格高于其他標(biāo)簽的期望值上限。滿足式(3)的穩(wěn)健性條件，從而建立差分隱私與模型穩(wěn)健性聯(lián)系，實(shí)現(xiàn)模型輸出的穩(wěn)健性。當(dāng)滿足式(4)時(shí)，可得穩(wěn)健性為

則深度偽造指紋檢測(cè)模型穩(wěn)健性結(jié)論為

深度偽造指紋檢測(cè)模型的實(shí)現(xiàn)流程如圖6 所示。在進(jìn)行模型訓(xùn)練時(shí)，通過(guò)添加噪聲層以引入高斯噪聲，使深度偽造指紋檢測(cè)模型的分類決策獲得隨機(jī)性。添加噪聲后的訓(xùn)練相對(duì)復(fù)雜，無(wú)法直接計(jì)算該輸出的期望。因此，本文采用蒙特卡羅估計(jì)來(lái)近似原有的期望值。具體地，在原始任務(wù)中添加決策層，反復(fù)調(diào)用預(yù)測(cè)來(lái)計(jì)算噪聲對(duì)SoftMax 層輸出結(jié)果并取平均操作得到期望的估計(jì)值。利用差分隱私算法的期望穩(wěn)定性進(jìn)行最終決策以降低該模型對(duì)噪聲的敏感度。如式(7)所示，對(duì)于添加噪聲后的指紋圖像，該模型的輸出期望依然比較穩(wěn)定。

圖6 深度偽造指紋檢測(cè)模型的實(shí)現(xiàn)流程

2.4 主動(dòng)保護(hù)框架

對(duì)于訓(xùn)練好的深度偽造指紋檢測(cè)模型，訓(xùn)練的參數(shù)中一部分神經(jīng)元對(duì)任務(wù)的決策至關(guān)重要，若剔除則會(huì)影響任務(wù)的輸出，被視為關(guān)鍵性神經(jīng)元；而有些神經(jīng)元有無(wú)與否對(duì)任務(wù)并無(wú)影響，被視為普通神經(jīng)元。本文提出的主動(dòng)保護(hù)框架通過(guò)凍結(jié)模型中關(guān)鍵性神經(jīng)元，以禁止未授權(quán)用戶的使用。由于大部分神經(jīng)元位于卷積層，僅凍結(jié)卷積層中的關(guān)鍵性神經(jīng)元。首先，通過(guò)概率選擇策略篩選出關(guān)鍵性神經(jīng)元以便于后續(xù)的凍結(jié)操作。概率選擇是通過(guò)觀察丟棄某個(gè)神經(jīng)元后，對(duì)模型性能的變化程度，若明顯，則相應(yīng)的神經(jīng)元極為重要。另外，輸入樣本不同，對(duì)神經(jīng)元產(chǎn)生的刺激也不同。假設(shè)輸入樣本為x n(n=1,…,N)，訓(xùn)練的參數(shù)中必然存在一些關(guān)鍵性神經(jīng)元構(gòu)成集合剔除則會(huì)使性能陡然下降。由于會(huì)隨著xn的變化而變化。因此，每輸入一批樣本，模型就會(huì)產(chǎn)生一批不同的集合為了消除不同輸入產(chǎn)生的隨機(jī)性，當(dāng)所有樣本輸入后，統(tǒng)計(jì)每個(gè)神經(jīng)元入選集合的次數(shù)，并用pθ表示被選定的概率。若神經(jīng)元總在中，則為關(guān)鍵性神經(jīng)元，并賦值1。本文將概率選擇操作轉(zhuǎn)化為式(8)所示的優(yōu)化問(wèn)題，通過(guò)優(yōu)化操作篩選出關(guān)鍵性神經(jīng)元，在不影響后門(mén)驗(yàn)證的同時(shí)，還能確保選取的關(guān)鍵性神經(jīng)元盡可能少。

其中，β用來(lái)衡量與Bθ的逼近程度，u符合均勻分布U(01)，，α＞0 和γ＞0 為的可調(diào)整參數(shù)。由于Bθ在式(7)中已被放寬，且中零元素相對(duì)較少。采用文獻(xiàn)[37]中的累加分布函數(shù)，即

通過(guò)式(9)和式(11)將式(8)放寬，并將式(8)的優(yōu)化問(wèn)題轉(zhuǎn)化為

利用式(12)對(duì)模型進(jìn)行優(yōu)化，以完成關(guān)鍵性神經(jīng)元的篩選和保障后門(mén)的驗(yàn)證；利用概率選擇操作將關(guān)鍵性神經(jīng)元進(jìn)行凍結(jié)，并限制未授權(quán)用戶的使用；將凍結(jié)的神經(jīng)元?jiǎng)澐植煌蛹屆總€(gè)子集均包含不同數(shù)量的神經(jīng)元，圖4 中的分發(fā)模塊通過(guò)選擇不同的子集來(lái)控制深度偽造指紋檢測(cè)模型的性能，而凍結(jié)模塊和解凍模塊分別用來(lái)進(jìn)行關(guān)鍵性神經(jīng)元的凍結(jié)和解凍操作。

2.5 時(shí)間戳

任意數(shù)據(jù)經(jīng)過(guò)哈希運(yùn)算[38]后均生成一個(gè)定長(zhǎng)的輸出。該運(yùn)算是單向的，即無(wú)法依據(jù)哈希值反推出原始數(shù)據(jù)。因此，使用時(shí)間戳對(duì)電子數(shù)據(jù)產(chǎn)生的時(shí)間進(jìn)行簽名認(rèn)證，以證明其在某個(gè)偽造簽名之前就已存在。時(shí)間戳的生成操作如下。

1) 使用時(shí)間戳服務(wù)中心（TSSC,time stamp service center）提供的時(shí)間戳軟件，將電子數(shù)據(jù)加蓋時(shí)間戳并輸出哈希值A(chǔ)。

2) 將生成的哈希值A(chǔ)發(fā)送給TSSC，由TSSC記錄下生成的時(shí)間點(diǎn)，并將哈希值A(chǔ)與時(shí)間點(diǎn)拼接組成的新數(shù)據(jù)輸入哈希函數(shù)，構(gòu)建新的哈希值B。

3) TSSC 利用私鑰將哈希值B進(jìn)行加密操作以防止B的泄露，將加密后的哈希值與時(shí)間點(diǎn)綁定封裝來(lái)生成時(shí)間戳，并返還給申請(qǐng)者保管。

時(shí)間戳的驗(yàn)證步驟如下。

1) 將原有電子數(shù)據(jù)作為輸入，使用時(shí)間戳軟件求得哈希值A(chǔ)。

2) 把哈希值A(chǔ)與時(shí)間點(diǎn)作為輸入，得到哈希值B。

3) 利用TSSC 提供的公鑰將使用者保管的加密內(nèi)容進(jìn)行解密，得到哈希值B′。

4) 通過(guò)對(duì)比哈希值B和哈希值B′，來(lái)判斷原有數(shù)據(jù)的時(shí)間點(diǎn)是否一致。

3 具體實(shí)施

3.1 數(shù)據(jù)集介紹

為了驗(yàn)證本文所提算法的性能，使用的數(shù)據(jù)集分別來(lái)自2015 年、2017 年和2019 年的指紋活性檢測(cè)競(jìng)賽，公開(kāi)發(fā)布3 個(gè)指紋集LivDet2015、LivDet2017 和LivDet2019。其中，LivDet2015 指紋數(shù)據(jù)集中的圖像使用4 種不同的光學(xué)傳感器GreenBit、Biometrika、DigitalPersona 和Crossmatch 采集構(gòu)建而成，每類傳感器采集的指紋數(shù)量約為4 000 張。LivDet2017、LivDet2019 數(shù)據(jù)集中的圖像則是由 GreenBit、DigitalPersona、Orcanthus 這3 種不同光學(xué)設(shè)備所采集，LivDet2017 和LivDet2019 中每類光學(xué)傳感器采集的指紋約為6 000 張和4 000 張。

3.2 性能評(píng)價(jià)指標(biāo)

本文采用的深度偽造指紋檢測(cè)模型版權(quán)保護(hù)算法的性能指標(biāo)如下[13]。

1) 保真度。在神經(jīng)網(wǎng)絡(luò)模型中植入水印后，不能影響原始檢測(cè)模型的性能。

2) 高效性。植入的神經(jīng)網(wǎng)絡(luò)水印應(yīng)避免模型版權(quán)驗(yàn)證時(shí)響應(yīng)時(shí)間過(guò)長(zhǎng)。

3) 有效性。神經(jīng)網(wǎng)絡(luò)水印必須長(zhǎng)期有效，對(duì)每個(gè)用戶保持獨(dú)一無(wú)二性。

4) 穩(wěn)健性。神經(jīng)網(wǎng)絡(luò)水印遭受常見(jiàn)的惡意攻擊后，依然存在且能用于后續(xù)的模型版權(quán)歸屬確權(quán)。

5) 安全性。用于模型版權(quán)驗(yàn)證的水印不易被偽造、訪問(wèn)和讀取。

3.3 后門(mén)的嵌入和提取

黑盒水印主要是通過(guò)構(gòu)造觸發(fā)集來(lái)為模型嵌入后門(mén)的。當(dāng)模型版權(quán)歸屬發(fā)生糾紛時(shí)，擁有者通過(guò)觸發(fā)集的特定輸出實(shí)現(xiàn)模型版權(quán)認(rèn)定，而偽造者無(wú)法提供該證明。觸發(fā)集的生成如式(13)所示。

其中，θ為檢測(cè)模型的相關(guān)參數(shù)，J(θ,x,y)為訓(xùn)練該模型的損失函數(shù)，?為梯度，sign(·) 為符號(hào)函數(shù)，ε為添加的擾動(dòng)大小。通過(guò)逐漸添加擾動(dòng)的方式使構(gòu)造的觸發(fā)集位于決策邊界附近。成功對(duì)手和失敗對(duì)手的對(duì)抗性指紋示例如圖7 所示，當(dāng)觸發(fā)集中樣本數(shù)量為4 時(shí)，圖7(a)為越過(guò)邊界的成功對(duì)手，圖7(b)為保持原有分類的失敗對(duì)手。

圖7 成功對(duì)手和失敗對(duì)手的對(duì)抗性指紋示例

后門(mén)的提取通過(guò)輸入觸發(fā)集樣本使成功對(duì)手和失敗對(duì)手都能被深度偽造指紋檢測(cè)模型正確分類，最理想的狀態(tài)是所有觸發(fā)樣本的標(biāo)簽與模型預(yù)測(cè)結(jié)果之間的距離為零。但是，由于深度偽造指紋檢測(cè)模型存在被攻擊和嵌入時(shí)觸發(fā)精度對(duì)原始任務(wù)的影響，導(dǎo)致誤報(bào)，因此，通過(guò)設(shè)計(jì)閾值θ對(duì)水印提取的性能進(jìn)行評(píng)估。為了將錯(cuò)誤率控制在0.05以內(nèi)，嵌入成功和失敗的概率均為0.5，觸發(fā)樣本服從二項(xiàng)分布即

其中，T為觸發(fā)集樣本的個(gè)數(shù)，為了使水印驗(yàn)證有效，只需誤報(bào)數(shù)小于閾值，便認(rèn)為成功提取水印。如當(dāng)T=50 時(shí)，閾值為19，只要觸發(fā)集的標(biāo)簽與預(yù)測(cè)標(biāo)簽最大誤差小于19，則表明水印提取成功。

3.4 實(shí)驗(yàn)結(jié)果

本文在不同數(shù)據(jù)集下進(jìn)行了算法性能測(cè)試，在LivDet2017 中的Orcanthus 對(duì)不同卷積層模型分類精度進(jìn)行了分析，不同卷積層數(shù)下的分類精度如圖8 所示。卷積層數(shù)為3 時(shí)，深偽檢測(cè)任務(wù)的性能最佳，因此在后續(xù)的實(shí)驗(yàn)中，均采用4 個(gè)卷積層和3 個(gè)全連接層結(jié)構(gòu)，利用期望值進(jìn)行最終決策，且差分隱私算法的強(qiáng)度分別設(shè)為ε=1.0，δ=0.05。目前，基于深層的偽造指紋檢測(cè)雖然已取得極高的性能，但是本文還是使用一個(gè)輕量級(jí)的模型進(jìn)行版權(quán)保護(hù)：一方面，本文主要研究的是深偽檢測(cè)模型的版權(quán)保護(hù)任務(wù)，有別于傳統(tǒng)的深偽檢測(cè)任務(wù)，因而選用的是參數(shù)較少、層數(shù)較淺的模型；另一方面，鑒于移動(dòng)終端的有限算力，本文期望設(shè)計(jì)的輕量化深偽指紋檢測(cè)模型能夠應(yīng)用在小型化的設(shè)備提供服務(wù)，如手機(jī)、平板等移動(dòng)終端。

圖8 不同卷積層數(shù)下的分類精度

本文將LivDet2015 中的真假指紋圖像進(jìn)行再整合，用于真?zhèn)螜z測(cè)模型的構(gòu)建，差分隱私對(duì)深度偽造指紋檢測(cè)模型分類精度的保護(hù)效果如圖9(a)所示，原始任務(wù)檢測(cè)模型分類精度為92%。當(dāng)使用觸發(fā)集微調(diào)決策邊界時(shí)，原始任務(wù)的分類精度下降了22%。雖然能夠鑒別模型版權(quán)歸屬，但此時(shí)的性能下降較明顯，不滿足版權(quán)保護(hù)算法中的保真度。通過(guò)引入噪聲層的方式重新構(gòu)造決策邊界，在完成版權(quán)歸屬確權(quán)同時(shí)，能夠減弱對(duì)任務(wù)性能的影響，僅下降3%。此外，本文還測(cè)試了LivDet2017 和LivDet2019中在不同傳感器下的保護(hù)效果，如圖9(b)所示。結(jié)果表明嵌入的后門(mén)不僅能夠被成功觸發(fā)，并且優(yōu)化后的決策邊界微調(diào)算法還能對(duì)原始任務(wù)起到較好的保護(hù)作用。為了進(jìn)一步驗(yàn)證所提框架的有效性，本文測(cè)試了不同用戶等級(jí)下的模型分類精度，如圖10 所示，結(jié)果表明所提算法依舊有效。

圖9 差分隱私對(duì)深度偽造指紋檢測(cè)模型分類精度的保護(hù)效果

圖10 不同用戶等級(jí)下的模型分類精度

若未授權(quán)用戶嘗試訪問(wèn)深度偽造指紋模型，將拒絕提供服務(wù)，即使提供輸入數(shù)據(jù)，輸出的結(jié)果也將無(wú)任何參考價(jià)值。真?zhèn)沃讣y鑒別是一個(gè)二分類問(wèn)題，性能最低為50%，相當(dāng)于隨機(jī)采樣的概率。為了驗(yàn)證本文采用的概率選擇策略能夠降低模型分類精度，采用了以下4 種不同的策略對(duì)神經(jīng)元進(jìn)行凍結(jié)。1) 隨機(jī)，隨機(jī)性地凍結(jié)神經(jīng)元。2) 均值，圍繞總體神經(jīng)元的均值凍結(jié)。3) 升序，按照神經(jīng)元的值從小到大凍結(jié)。4) 降序，按照神經(jīng)元的值從大到小凍結(jié)。將第2 個(gè)卷積層中的神經(jīng)元進(jìn)行不同程度的凍結(jié)，模型的性能如圖11 所示，可觀察到本文采用的概率選擇策略僅需凍結(jié)4%左右的神經(jīng)元就能快速降低模型的分類精度，而其他4 種策略則需要凍結(jié)20%左右的神經(jīng)元。

圖11 不同凍結(jié)神經(jīng)元比例下的模型分類精度

3.5 模型穩(wěn)健性驗(yàn)證

為了驗(yàn)證深度偽造指紋檢測(cè)模型修改后是否具有穩(wěn)健性，本文還在LivDet2015 數(shù)據(jù)集下進(jìn)行了穩(wěn)健性實(shí)驗(yàn)。通過(guò)對(duì)參數(shù)進(jìn)行修剪，將絕對(duì)值最小的權(quán)重剔除來(lái)模擬壓縮攻擊，結(jié)果表明構(gòu)造的觸發(fā)后門(mén)能夠抵擋模型壓縮攻擊。對(duì)模型壓縮的穩(wěn)健性如表1 所示，深度偽造指紋檢測(cè)模型能抵擋50%左右的壓縮攻擊。

表1 對(duì)模型壓縮的穩(wěn)健性

通過(guò)構(gòu)造大小不同的偽造觸發(fā)集來(lái)微調(diào)訓(xùn)練好的深度偽造檢測(cè)模型，對(duì)模型微調(diào)的穩(wěn)健性如表2所示。原有的觸發(fā)集能夠?qū)z測(cè)模型進(jìn)行版權(quán)歸屬認(rèn)證，表明本文提出的觸發(fā)后門(mén)具有穩(wěn)健性，與對(duì)抗樣本難以防御的特性[39]相一致。

表2 對(duì)模型微調(diào)的穩(wěn)健性

除了上述2 種攻擊，攻擊者還可能對(duì)凍結(jié)的關(guān)鍵性神經(jīng)元進(jìn)行再訓(xùn)練，嘗試重現(xiàn)原始任務(wù)。由于攻擊者事先無(wú)法獲悉檢測(cè)模型是在哪層執(zhí)行關(guān)鍵性神經(jīng)元凍結(jié)，只能通過(guò)固定其他層的神經(jīng)元對(duì)該層進(jìn)行重訓(xùn)練。對(duì)于未授權(quán)用戶來(lái)講，該嘗試等同于重新訓(xùn)練一個(gè)原始任務(wù)模型。而攻擊者是因?yàn)橛?jì)算資源有限，為了降低模型的訓(xùn)練成本，才會(huì)盜取合法用戶的知識(shí)產(chǎn)權(quán)。因此，攻擊者不會(huì)花費(fèi)更多訓(xùn)練代價(jià)來(lái)獲取模型的使用權(quán)，使主動(dòng)保護(hù)方案具有穩(wěn)健性。即使使用者被策反，模型擁有者依然可借助時(shí)間戳進(jìn)行模型版權(quán)歸屬確權(quán)，本文所提的框架依然具有穩(wěn)健性。

3.6 水印驗(yàn)證框架

深度偽造指紋檢測(cè)模型在抵抗模型微調(diào)攻擊的同時(shí)，也會(huì)存在多個(gè)水印共存問(wèn)題，間接發(fā)生水印的混淆。攻擊者對(duì)模型進(jìn)行微調(diào)攻擊后，盡管模型性能會(huì)下降，但是攻擊者寧愿犧牲檢測(cè)模型的準(zhǔn)確率。為了保障安全，本文設(shè)計(jì)了一種新的水印驗(yàn)證框架，當(dāng)發(fā)生水印混淆時(shí)，由權(quán)威第三方提供時(shí)間戳的生成和認(rèn)證服務(wù)，模型所有者僅需向權(quán)威第三方提供觸發(fā)集，使用SHA-256 哈希運(yùn)算來(lái)為觸發(fā)集生成時(shí)間戳。當(dāng)需要版權(quán)確權(quán)時(shí)，再次向權(quán)威第三方提供觸發(fā)集，借助時(shí)間戳認(rèn)證服務(wù)，通過(guò)時(shí)間先后來(lái)對(duì)混淆后的版權(quán)進(jìn)行認(rèn)證。模型所有者把爭(zhēng)議模型以及觸發(fā)集提供給權(quán)威第三方，權(quán)威第三方通過(guò)SHA-256 哈希函數(shù)給觸發(fā)集加蓋時(shí)間戳，把生成的哈希值交還給模型所有者，形成證據(jù)。當(dāng)發(fā)生水印混淆的時(shí)候，模型所有者和攻擊者都需要把哈希值和觸發(fā)集提交給權(quán)威第三方進(jìn)行認(rèn)證。最后權(quán)威第三方通過(guò)時(shí)間戳的哈希值，來(lái)判斷時(shí)間節(jié)點(diǎn)的先后順序，生成時(shí)間戳靠前的版權(quán)驗(yàn)證者為模型的真正所有者。

3.7 方法的通用性

除了在3 個(gè)公開(kāi)的指紋數(shù)據(jù)集上進(jìn)行了版權(quán)歸屬驗(yàn)證，本文還在Cifar10 數(shù)據(jù)集上進(jìn)行了通用性測(cè)試，本文算法同樣表現(xiàn)出較好性能，如表3 所示。通過(guò)與現(xiàn)有的5 種算法[22-23,25]對(duì)比可知，當(dāng)模型嵌入黑盒水印后，原始任務(wù)分類精度都會(huì)退化，相比較而言，本文算法分類精度降幅更小，基本上可忽略，對(duì)原始任務(wù)影響較小。

表3 算法的通用性性能

4 結(jié)束語(yǔ)

在保密通信過(guò)程中，指紋識(shí)別是應(yīng)用最廣的身份識(shí)別技術(shù)，對(duì)保障隱私安全和查驗(yàn)用戶身份的合法與否至關(guān)重要。近年來(lái)，研究者發(fā)現(xiàn)其易遭受偽造指紋的欺騙攻擊，偽造指紋檢測(cè)技術(shù)應(yīng)運(yùn)而生。但是訓(xùn)練一個(gè)鑒別真假指紋的深層模型需要海量的數(shù)據(jù)和超強(qiáng)的算力，高敏感型的指紋被收集后存在泄露風(fēng)險(xiǎn)，而深度偽造指紋檢測(cè)模型的濫用勢(shì)必會(huì)導(dǎo)致個(gè)人隱私的泄露和知識(shí)產(chǎn)權(quán)侵權(quán)風(fēng)險(xiǎn)，對(duì)深偽檢測(cè)模型進(jìn)行版權(quán)保護(hù)迫在眉睫。針對(duì)傳統(tǒng)黑盒版權(quán)保護(hù)算法存在削弱原始任務(wù)性能且適用于模型事后確權(quán)的問(wèn)題。本文提出一種基于差分隱私的深度偽造指紋檢測(cè)模型版權(quán)保護(hù)算法，在實(shí)現(xiàn)版權(quán)的主動(dòng)保護(hù)和被動(dòng)驗(yàn)證的同時(shí)，能夠兼顧原始任務(wù)分類精度。為解決傳統(tǒng)的決策邊界微調(diào)算法造成的原始任務(wù)分類精度下降問(wèn)題，本文在檢測(cè)模型中引入了噪聲層模塊，旨在特征提取過(guò)程中引入隨機(jī)性，并利用差分隱私算法的期望穩(wěn)健性進(jìn)行最終的決策，以訓(xùn)練一個(gè)對(duì)噪聲不敏感的深度偽造指紋檢測(cè)模型。通過(guò)對(duì)抗訓(xùn)練來(lái)微調(diào)該模型的決策邊界為其嵌入后門(mén)，使嵌入后門(mén)后的決策邊界只發(fā)生輕微變化。采用概率選擇策略對(duì)深度偽造指紋檢測(cè)模型的神經(jīng)元進(jìn)行選擇性凍結(jié)，讓忠誠(chéng)的用戶可解凍更多數(shù)量的神經(jīng)元，以實(shí)現(xiàn)對(duì)該模型的主動(dòng)保護(hù)。此外，還設(shè)計(jì)了一種水印驗(yàn)證框架，攻擊者通過(guò)偽造觸發(fā)集來(lái)為模型植入后門(mén)水印，致使模型版權(quán)發(fā)生了混淆。當(dāng)模型面對(duì)混淆攻擊時(shí)，所有者可通過(guò)時(shí)間戳的順序，對(duì)該模型版權(quán)進(jìn)行驗(yàn)證。實(shí)驗(yàn)結(jié)果表明，本文設(shè)計(jì)的版權(quán)保護(hù)算法對(duì)多種不同攻擊具有一定的穩(wěn)健性。

由于模型版權(quán)保護(hù)研究還處于起步階段，尤其是基于生物特征的神經(jīng)網(wǎng)絡(luò)模型，目前還沒(méi)有統(tǒng)一的性能評(píng)價(jià)指標(biāo)，如何為不同模型和不同的版權(quán)保護(hù)方法設(shè)計(jì)統(tǒng)一的指標(biāo)是接下來(lái)需要研究的內(nèi)容。