袁程勝，郭強，付章杰

（1.南京信息工程大學(xué)計算機學(xué)院、軟件學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院，江蘇 南京 210044；2.南京信息工程大學(xué)數(shù)字取證教育部工程研究中心，江蘇 南京 210044）

0 引言

隨著大數(shù)據(jù)技術(shù)和數(shù)字經(jīng)濟的蓬勃發(fā)展，互聯(lián)網(wǎng)每天都會產(chǎn)生海量的數(shù)據(jù)，部分?jǐn)?shù)據(jù)不僅關(guān)系到個人隱私權(quán)益，還會涉及國家安全和社會公共利益。為了避免敏感隱私數(shù)據(jù)外泄，對其進行安全訪問至關(guān)重要。生物識別技術(shù)（借用人體生理或行為特性）作為一種新穎的身份識別模式，逐漸替代傳統(tǒng)的密碼驗證。在現(xiàn)有的生物特征中，指紋因具有唯一性、穩(wěn)定性和長久不變性的特性，應(yīng)用更普及。截至2021 年，指紋識別占據(jù)全球生物識別的大部分市場份額[1]。但是，該技術(shù)存在嚴(yán)重的安全隱患，借助硅膠、樹脂、明膠等材料偽造的指紋能夠成功欺騙指紋識別系統(tǒng)。因此，偽造指紋[2]檢測技術(shù)被提出。

近些年，隨著機器學(xué)習(xí)尤其是深度學(xué)習(xí)的迅速發(fā)展，人工智能技術(shù)被廣泛應(yīng)用在無人駕駛[3-4]、計算機視覺[5-6]、自然語言處理[7-8]等領(lǐng)域，基于深度學(xué)習(xí)的深度偽造指紋檢測方法[9]也相繼被提出。但是，訓(xùn)練一個鑒別指紋真假的模型除依賴超強的算力和專業(yè)的領(lǐng)域知識外，還需要海量優(yōu)質(zhì)指紋數(shù)據(jù)的加持，并且一旦模型濫用勢必會導(dǎo)致用戶隱私的泄露和知識產(chǎn)權(quán)侵犯風(fēng)險，對訓(xùn)練好的深度偽造指紋檢測模型進行版權(quán)保護迫在眉睫。

深度偽造指紋檢測（后文簡稱為深偽檢測）模型在確保指紋識別系統(tǒng)完整和隱私數(shù)據(jù)安全訪問方面的作用是無法替代的[10-12]，尤其是對具有較高隱私的深偽檢測模型的保護極為重要。現(xiàn)有的知識產(chǎn)權(quán)保護對象更多是新媒體內(nèi)容，鮮有對深偽檢測模型版權(quán)保護的研究，并且無法直接將現(xiàn)有方法用于深偽檢測模型的版權(quán)保護任務(wù)中。文獻[13]提出一種構(gòu)造零比特水印的版權(quán)保護方法，當(dāng)模型所有者對知識產(chǎn)權(quán)和經(jīng)濟利益產(chǎn)生糾紛時，可調(diào)用遠程應(yīng)用程序接口（API,application programming interface）來獲得模型的訪問權(quán)限，并通過遠程操作從神經(jīng)網(wǎng)絡(luò)模型中提取嵌入的水印實現(xiàn)版權(quán)驗證，通過對抗訓(xùn)練操作生成觸發(fā)集以調(diào)整分類決策邊界，并依據(jù)觸發(fā)集輸出的特定標(biāo)簽對模型版權(quán)歸屬進行驗證。該方法在MNIST 數(shù)據(jù)集上表現(xiàn)出較好的性能，而對指紋數(shù)據(jù)集保護的效果如何有待考究。文獻[14]提出一種抗偽造攻擊的神經(jīng)網(wǎng)絡(luò)水印協(xié)議，通過引入單向哈希函數(shù)，確保所有權(quán)的觸發(fā)樣本形成單向鏈，且觸發(fā)樣本的標(biāo)簽也被賦值，其認(rèn)為攻擊者無法擁有訓(xùn)練權(quán)限，因此該協(xié)議能夠抵擋偽造攻擊。但是現(xiàn)實中，攻擊者通過非法手段能夠獲得模型的訓(xùn)練權(quán)限，該方法將不適用。文獻[15]提出一種深度模型的分發(fā)機制，能夠為用戶提供分等級的服務(wù)，但是當(dāng)用戶與攻擊者發(fā)動合謀攻擊后，該模型將會被攻擊者竊取和非法使用。

針對神經(jīng)網(wǎng)絡(luò)模型知識產(chǎn)權(quán)侵權(quán)問題，本文提出了一種基于差分隱私的深度偽造指紋檢測模型版權(quán)保護算法。首先，通過構(gòu)建的觸發(fā)集微調(diào)模型的分類決策邊界以建立后門，實現(xiàn)模型版權(quán)的被動驗證。然后，為了最小化原始任務(wù)在非觸發(fā)集中的誤差，在深偽檢測模型中設(shè)計一個噪聲層模塊，充分利用差分隱私算法的期望穩(wěn)定性進行分類決策，讓模型在訓(xùn)練時降低對噪聲的敏感度。當(dāng)模型授權(quán)給用戶后，攻擊者與用戶發(fā)動合謀攻擊，以非法獲得使用權(quán)，此時僅需通過給模型嵌入的后門來驗證模型版權(quán)。即使攻擊者偽造一批與觸發(fā)集樣本同分布的數(shù)據(jù)來混淆模型版權(quán)，所有者依然可通過給觸發(fā)集加蓋時間戳的方式，抵抗混淆版權(quán)的惡意攻擊。本文的主要貢獻如下。

1) 提出一種主動保護和被動驗證相結(jié)合的深度偽造指紋檢測模型版權(quán)保護框架。主動保護通過設(shè)計一組訪問權(quán)限，利用概率選擇策略將凍結(jié)的關(guān)鍵性神經(jīng)元進行不同程度的解凍，以實現(xiàn)對該模型的授權(quán)分發(fā)和用戶的身份管理。即使攻擊者與用戶發(fā)動合謀攻擊，所有者依然可以通過后門映射關(guān)系來進行版權(quán)的被動驗證。

2) 改進了傳統(tǒng)的決策邊界微調(diào)算法。通過給深度偽造指紋檢測模型引入隨機性，借助差分隱私算法的期望穩(wěn)定性進行分類決策，以降低模型對噪聲的敏感度，從而讓模型的分類決策邊界更加穩(wěn)定。確保在后門嵌入時，決策邊界不會發(fā)生大幅變化而影響原始任務(wù)。

3) 在3 個公開的指紋數(shù)據(jù)集上進行了性能測試，實驗結(jié)果表明，主動保護并不會影響后門驗證，對于不同模型任務(wù)后門依然有效，嵌入的后門對模型修改同樣具有穩(wěn)健性。此外，所提算法能夠抵擋攻擊者發(fā)起的合謀攻擊，也能夠抵擋模型修改帶來的微調(diào)、壓縮等常見攻擊。

1 模型版權(quán)保護算法分類

通過對現(xiàn)有模型版權(quán)算法進行歸納發(fā)現(xiàn)[16]，主要分為三類，即白盒水印算法、黑盒水印算法和無盒水印算法。白盒水印算法實現(xiàn)流程如圖1 所示，利用白盒水印進行版權(quán)驗證時，所有者能夠訪問模型的結(jié)構(gòu)和參數(shù)，通過修改神經(jīng)網(wǎng)絡(luò)模型的權(quán)值實現(xiàn)水印的嵌入和提取。黑盒水印算法實現(xiàn)流程如圖2所示，在無法獲悉神經(jīng)網(wǎng)絡(luò)模型的結(jié)構(gòu)和參數(shù)時，通過生成的觸發(fā)集讓模型輸出預(yù)期的分類結(jié)果，以實現(xiàn)水印的提取和對比。無盒水印算法實現(xiàn)流程如圖3所示，利用生成式模型讓輸出的圖像中含有水印。在版權(quán)驗證時，利用提取網(wǎng)絡(luò)完成水印的提取和版權(quán)歸屬驗證。

圖1 白盒水印算法實現(xiàn)流程

圖2 黑盒水印算法實現(xiàn)流程

圖3 無盒水印算法實現(xiàn)流程

1.1 白盒水印算法

Uchida 等[11]在2017 年首次提出模型水印的概念。在訓(xùn)練過程中，利用構(gòu)造的投影矩陣將水印植入模型權(quán)重中，通過提取網(wǎng)絡(luò)實現(xiàn)水印信息的提取和版權(quán)驗證。具體實現(xiàn)過程如下，首先，隨機選擇某一卷積層進行平均操作，并將其轉(zhuǎn)化成一維向量；然后，將投影矩陣與一維向量的乘積輸入激活函數(shù)中，構(gòu)造一個二值比特流；最后，將水印轉(zhuǎn)化成二進制向量，利用交叉熵損失函數(shù)最小化水印信息和激活后的二值比特流，以實現(xiàn)模型水印信息的植入。水印驗證是將投影矩陣與權(quán)重執(zhí)行乘法操作，利用階躍函數(shù)進行水印提取，通過與嵌入的二值水印信息進行對比實現(xiàn)模型版權(quán)的歸屬確權(quán)。若權(quán)重變化幅度較大，便能檢測到水印的存在。因此，Kuribayashi 等[17]提出了一種基于全連接層權(quán)重的量化水印嵌入方法，該方法通過在訓(xùn)練過程改變模型參數(shù)，量化水印對模型的影響，從而確保植入的水印引起的參數(shù)變化很小。

Rouhani 等[18]提出一種通用水印版權(quán)保護方案，將其命名為DeepSigns。DeepSigns 能夠生成一個受保護的神經(jīng)網(wǎng)絡(luò)模型，模型所有者設(shè)計一個水印簽名，將其植入不同激活圖的概率密度函數(shù)中，并使用密鑰記錄嵌入位置。當(dāng)版權(quán)驗證時，首先通過密鑰獲取水印的位置信息；然后提取水印簽名；最后比較所提取水印與真實簽名之間的誤差，若小于閾值，則提取成功。Feng 等[19]提出一種帶有補償機制的水印嵌入方案，為了讓嵌入的水印位置更隱蔽，抵抗覆寫攻擊，選取隨機權(quán)重；然后將權(quán)重進行正交變換，并通過二值化操作向系數(shù)中嵌入水印，再通過逆正交變換得到新的含水印的權(quán)重；最后使用其他權(quán)重作為補償來微調(diào)模型，以消除二值化對性能的影響。

Fan 等[20]指出，現(xiàn)有的水印算法易受到偽造攻擊。為此，他們提出一種基于護照的水印策略，即讓預(yù)先訓(xùn)練好的模型在正確的護照下保持任務(wù)性能。當(dāng)面對偽造或修改的護照，原始任務(wù)性能會大幅下降。該方法在不同卷積層后添加了一個護照層，類似于歸一化層，區(qū)別在于護照層的權(quán)重和偏置由特殊的護照決定，而歸一化層的權(quán)重和偏置是為了保證中間層的變化幅度不能過大而抵消部分歸一化操作對模型的影響。因為模型訓(xùn)練過程與護照緊密耦合在一起，所以模型的性能受到護照的控制。若攻擊者通過逆向工程偽造一個新的護照來盜取模型，則必須從頭訓(xùn)練模型。因此，該方法能夠有效抵擋混淆攻擊。文獻[20]僅適用于一些特殊的歸一化層，為了讓歸一化層都植入水印，Zhang 等[21]在原始任務(wù)中引入了一個護照感知分支，通過設(shè)計一個秘密護照讓護照感知分支與原始模型聯(lián)合訓(xùn)練。僅當(dāng)驗證模型版權(quán)的歸屬時才提供護照和護照感知分支，而其他時候只將原始模型提供給用戶使用。在驗證過程中，正確的護照能使模型正常工作，偽造護照則不能。

針對模型版權(quán)歸屬確權(quán)問題，目前的白盒水印算法雖然能夠很好地解決，但是模型內(nèi)部結(jié)構(gòu)信息需要公開，攻擊者能夠輕易地訓(xùn)練一個模型。因此，模型所有者更期望將持有的模型封裝成黑盒，通過提供API 完成指定任務(wù)。

1.2 黑盒水印算法

Zhang 等[22]提出一種新穎的模型版權(quán)認(rèn)證方法，即黑盒水印算法，并分別給出3 種黑盒水印算法：第一種算法將特定的文本信息嵌入圖像中作為水??；第二種算法將無意義的噪聲嵌入圖像作為水印；第三種算法將不相關(guān)圖像分配錯誤標(biāo)簽后作為水印。上述方法均能通過植入后門映射關(guān)系實現(xiàn)模型的版權(quán)歸屬認(rèn)證。Adi 等[23]通過后門植入法研究版權(quán)的歸屬問題。首先，從原始數(shù)據(jù)中選定部分樣本作為觸發(fā)集，并進行標(biāo)記；然后，通過訓(xùn)練讓模型擬合觸發(fā)樣本的特性。在版權(quán)驗證時，所有者將觸發(fā)樣本輸入API 中，通過觀察預(yù)測結(jié)果是否為預(yù)設(shè)的標(biāo)簽。為了降低誤報率，Guo 等[24-25]提出一種基于進化算法的水印生成和黑盒水印優(yōu)化算法，將版權(quán)所有者的簽名植入數(shù)據(jù)集中，使用含簽名信息的數(shù)據(jù)集來訓(xùn)練一個神經(jīng)網(wǎng)絡(luò)模型。當(dāng)嵌入簽名的數(shù)據(jù)被輸入時，預(yù)設(shè)的臨時模式將會運行，以此驗證模型的版權(quán)。Jia 等[26]發(fā)現(xiàn)現(xiàn)有的水印嵌入方法大多與主任務(wù)無關(guān)，可通過模型微調(diào)和壓縮來盜取版權(quán)，為此提出糾纏水印的概念，即將水印嵌入和原始任務(wù)緊密耦合。此外，在后門植入時，觸發(fā)集輸出錯誤的標(biāo)簽會導(dǎo)致決策邊界發(fā)生變化，影響原始任務(wù)的性能。Zhong 等[27]設(shè)計一種全新的黑盒水印算法，在后門嵌入過程中，決策邊界并不會發(fā)生變化。Quan 等[28]設(shè)計一種用于保護圖像處理模型的黑盒觸發(fā)式水印，通過微調(diào)操作使模型改變特定域內(nèi)的預(yù)測結(jié)果，為了讓微調(diào)后的模型輸出圖像和事先預(yù)定義的圖像接近，將觸發(fā)圖像和初始驗證圖像一并輸入模型中訓(xùn)練，用觸發(fā)圖像的預(yù)測結(jié)果來更新驗證圖像。在驗證水印時，當(dāng)所有者把觸發(fā)圖像輸入模型后，如果輸出結(jié)果與驗證圖像相同則驗證成功。Ong 等[29]提出一種用于保護生成對抗網(wǎng)絡(luò)的水印方法，核心是當(dāng)輸入一個觸發(fā)圖像時，模型會生成一個包含水印的圖像來驗證版權(quán)。

由于深度模型易遭受數(shù)據(jù)中毒和后門攻擊的威脅，確保神經(jīng)網(wǎng)絡(luò)模型在部署后的完整性對黑盒模型極其重要。Zhu 等[30]提出一種基于黑盒的脆弱水印方法來檢測惡意微調(diào)，水印處理分為以下3 個步驟：用戶首先用一個特定的密鑰來構(gòu)造一組觸發(fā)集；然后，用交替訓(xùn)練的方式對訓(xùn)練集和觸發(fā)集進行分類；最后，對訓(xùn)練好的DNN 模型進行微調(diào)。

黑盒水印算法是目前主流的模型版權(quán)保護方法。所有者僅需通過API 訪問遠程模型便能完成版權(quán)驗證，不需要像白盒水印算法那樣將內(nèi)部結(jié)構(gòu)公開給第三方。雖然黑盒水印算法提升了模型的安全，但是攻擊者依然可通過偽造觸發(fā)集的方式混淆版權(quán)。

1.3 無盒水印算法

無盒水印算法是一種新穎的、不需要人模交互、不需要獲悉模型細節(jié)和不需要構(gòu)建特定觸發(fā)集的生成式版權(quán)保護方法，核心操作是在模型訓(xùn)練損失函數(shù)中引入一個水印損失項，使輸出樣本中包含水印信息，最終通過水印提取和比對實現(xiàn)模型版權(quán)的歸屬確權(quán)。Zhang 等[31]通過在模型后引入一個與原始任務(wù)無關(guān)的水印模塊，提出一種端到端的水印信息嵌入算法。具體地，在原始任務(wù)后設(shè)計一個水印嵌入模塊，通過迭代優(yōu)化將水印信息嵌入圖像中。為了從水印圖像中提取水印，便于后續(xù)水印比對和版權(quán)歸屬認(rèn)證，同時訓(xùn)練一個由密鑰控制的水印提取子網(wǎng)。當(dāng)攻擊者利用該框架訓(xùn)練的模型進行代理模型攻擊時，表征歸屬的水印信息將被嵌入該代理模型中。此外，還通過對抗訓(xùn)練提升模型的穩(wěn)健性，以提高水印防御代理模型攻擊的性能。Wu 等[32]提出一種全新數(shù)字水印框架，設(shè)計一個水印損失組合損失函數(shù)來訓(xùn)練模型，使輸出的圖像中包含一個定制化的水印信息，后續(xù)神經(jīng)網(wǎng)絡(luò)模型版權(quán)需要歸屬確權(quán)時，只要通過檢測輸出圖像中的水印，便能夠判斷圖像是否來自該神經(jīng)網(wǎng)絡(luò)模型。實驗結(jié)果顯示，該方法在面對各種圖像處理操作時，如圖像著色、超分、編輯及語義分割等，均表現(xiàn)出良好的穩(wěn)健性。

無盒水印的版權(quán)驗證算法是通過在輸出圖像中植入定制化數(shù)字水印信息來保護模型版權(quán)的，為深偽檢測模型的版權(quán)保護研究提供了新思路。

2 本文算法

2.1 融合主動保護和被動驗證的版權(quán)保護框架

本文提出的融合主動保護和被動驗證的深偽檢測模型版權(quán)保護框架如圖4 所示。其包含以下3 個功能：第一，可以防止未授權(quán)用戶使用深偽檢測模型，僅授權(quán)用戶能使用該模型，而未授權(quán)者將會得到一個與任務(wù)無關(guān)的輸出；第二，能夠?qū)ι顐螜z測模型進行分級保護，越忠誠的用戶獲得的訪問等級越高；第三，當(dāng)攻擊者策反授權(quán)用戶發(fā)起合謀攻擊時，模型所有者可通過后門映射關(guān)系對該模型進行版權(quán)歸屬確權(quán)。

圖4 融合主動保護和被動驗證的深偽檢測模型版權(quán)保護框架

首先，模型所有者將預(yù)訓(xùn)練好的深偽檢測模型使用后門嵌入模塊來微調(diào)決策邊界，讓模型獲得后門映射關(guān)系。然后，通過概率選擇模塊篩選模型中的關(guān)鍵性神經(jīng)元，以確保選定的神經(jīng)元不影響后門觸發(fā)。接著，凍結(jié)模塊將篩選出的關(guān)鍵性神經(jīng)元進行凍結(jié)，以降低模型的可用性，讓未授權(quán)用戶無法使用該任務(wù)模型。最后，分發(fā)模塊對凍結(jié)模塊中的神經(jīng)元授予不同等級，依據(jù)授權(quán)等級從凍結(jié)模塊中解凍不同數(shù)量的神經(jīng)元，以執(zhí)行相應(yīng)的功能，該操作能夠確保最忠誠的用戶解凍全部的神經(jīng)元。在上述操作過程中，模型所有者僅需執(zhí)行一次后門嵌入模塊、概率選擇模塊和凍結(jié)模塊的調(diào)用操作，當(dāng)用戶需要使用模型時可以多次調(diào)用分發(fā)模塊。被動驗證是當(dāng)用戶被攻擊者策反后，導(dǎo)致模型被非法使用時所采取的事后驗證操作。綜上，本文所提的版權(quán)保護框架能夠為深度偽造指紋檢測模型提供一個系統(tǒng)完整和版權(quán)歸屬確權(quán)的解決方案。

2.2 決策邊界的構(gòu)建

本文使用FGSM（fast gradient sign method）[33]生成對抗性指紋集，并在原始任務(wù)模型上進行白盒測試，當(dāng)模型輸出標(biāo)簽發(fā)生錯誤時，則定義為成功對手。由于FGSM 通過逐批添加擾動的方式來生成對抗性指紋，因此那些測試錯誤的對抗指紋被視為失敗對手。選擇失敗對手作為觸發(fā)集的目的是限制決策邊界[13]，讓成功對手返回原先正確分類的類別時變化更少。此外，失敗對手還具有表征模型邊界形狀的作用，從而提升模型的穩(wěn)健性。決策邊界微調(diào)的前后對比如圖5 所示，標(biāo)簽T 和標(biāo)簽F分別表示類別為True 和Fake 的成功對手，而分別表示類別為True 和Fake 的失敗對手。

圖5 決策邊界微調(diào)的前后對比

為了實現(xiàn)深偽檢測模型的版權(quán)保護，使用對抗性指紋的原始標(biāo)簽作為后門映射關(guān)系進行被動驗證。具體地，利用決策邊界微調(diào)算法讓深度偽造指紋檢測模型的決策邊界發(fā)生輕微改變，以實現(xiàn)模型的水印植入。由于觸發(fā)集是由對抗性指紋構(gòu)成的集合，當(dāng)進行決策邊界微調(diào)時，深偽檢測模型能夠?qū)W習(xí)到觸發(fā)集圖像中對抗指紋的特殊特征，使原始任務(wù)輸出錯誤結(jié)果。為了解決上述問題，受差分隱私和對抗樣本防御具有一定聯(lián)系[34]的啟發(fā)，讓深偽檢測模型的決策邊界更加穩(wěn)定，不易受觸發(fā)集的對抗性擾動影響，本文通過在原始任務(wù)中添加噪聲層，從而在前向傳播過程中引入隨機性，使模型能夠利用差分隱私算法的期望穩(wěn)定性進行最終的決策，并能夠有效降低深偽檢測模型對噪聲的敏感性。此外，還能夠確保在用觸發(fā)集進行后門嵌入的過程中，決策邊界不會因為擾動對模型的影響而大幅變化。

2.3 噪聲層的構(gòu)建

差分隱私[35]是避免個人數(shù)據(jù)隱私泄露的一種防御方法，通過給數(shù)據(jù)添加噪聲以引入隨機性，使在數(shù)據(jù)集上的任何增加或刪除操作記錄都能被隱藏，用戶無法通過查詢的結(jié)果反推出隱私信息。設(shè)D為隨機算法，輸入域為X，輸出域為R，任意2 個相鄰數(shù)據(jù)集x，x′∈X，輸出集合滿足S?R。若x和x′在算法D下滿足式(1)，則稱算法D滿足(ε,)δ-差分隱私。

其中，ε和δ均為控制差分隱私保護強度的超參數(shù)，ε為隱私預(yù)算，δ為隱私被泄露的概率，P(·) 為算法D的輸出概率。

度量標(biāo)準(zhǔn)ρ用來表示敏感性，以記錄2 個查詢之間的不同數(shù)目。在標(biāo)準(zhǔn)的差分隱私中，通常用漢明距離作為度量標(biāo)準(zhǔn)，以使數(shù)據(jù)庫中單一數(shù)據(jù)的改變不會大幅修改輸出的分布。而差分隱私也適用于對抗樣本的范數(shù)度量。本文將深偽檢測模型的輸入圖像構(gòu)成的樣本視為數(shù)據(jù)庫，將圖像中的像素視為記錄，以建立起差分隱私與深度偽造指紋檢測模型之間的聯(lián)系。具體地，本文觸發(fā)集的構(gòu)建是使用FGSM 來生成對抗性指紋的，通過微調(diào)建立后門映射，利用映射關(guān)系來驗證版權(quán)歸屬。

本文利用了差分隱私的2 個屬性：1) 后處理性，即差分隱私算法之后模型的輸出結(jié)果仍具有差分隱私的特性；2) 期望穩(wěn)定性，即差分隱私算法之后模型的輸出期望對輸入的擾動變化不敏感。上述屬性能夠使差分隱私與模型的穩(wěn)健性建立明確的聯(lián)系。通過差分隱私的期望穩(wěn)定性來進行決策，以降低分類決策邊界的敏感性。在執(zhí)行后門嵌入時，微小擾動對原始任務(wù)性能并不會產(chǎn)生太大影響。差分隱私的期望穩(wěn)定性為

其中，α表示添加的擾動，D(x) 表示隨機算法的輸出，且D(x) ∈[ 0,1]。為了驗證差分隱私的屬性2)，對其進行如下推理。連續(xù)性隨機變量的輸出期望為

將式(1)兩邊同時積分得

其中，δ是常數(shù)，可得

因此，E(D(x)) ≤eεE(D(x+α))+δ得證。

深度偽造指紋檢測模型的穩(wěn)健性是指模型輸入的輕微改變并不會影響原始任務(wù)的性能，在基于標(biāo)簽輸出概率的深度偽造指紋檢測模型中，穩(wěn)健性應(yīng)該滿足

其中，y為模型分類結(jié)果，f和n為標(biāo)簽類別。

本文將檢測模型SoftMax 層的決策轉(zhuǎn)化為隨機的D(x)，利用噪聲的輸出期望E(D(x)) 作為決策概率，以挑選最大的概率標(biāo)簽，如式(4)所示。

式(4)為穩(wěn)健性條件，若滿足條件，則輸出期望E(D(x)) 對微小擾動是穩(wěn)健的。證明如下。

證明根據(jù)式(2)可得

式(5)給出了 E(Dn(x+α))的下界，式(6)給出了maxn≠fE(D f(x+α))的上界。式(4)中標(biāo)簽n的期望值下限嚴(yán)格高于其他標(biāo)簽的期望值上限。滿足式(3)的穩(wěn)健性條件，從而建立差分隱私與模型穩(wěn)健性聯(lián)系，實現(xiàn)模型輸出的穩(wěn)健性。當(dāng)滿足式(4)時，可得穩(wěn)健性為

則深度偽造指紋檢測模型穩(wěn)健性結(jié)論為

深度偽造指紋檢測模型的實現(xiàn)流程如圖6 所示。在進行模型訓(xùn)練時，通過添加噪聲層以引入高斯噪聲，使深度偽造指紋檢測模型的分類決策獲得隨機性。添加噪聲后的訓(xùn)練相對復(fù)雜，無法直接計算該輸出的期望。因此，本文采用蒙特卡羅估計來近似原有的期望值。具體地，在原始任務(wù)中添加決策層，反復(fù)調(diào)用預(yù)測來計算噪聲對SoftMax 層輸出結(jié)果并取平均操作得到期望的估計值。利用差分隱私算法的期望穩(wěn)定性進行最終決策以降低該模型對噪聲的敏感度。如式(7)所示，對于添加噪聲后的指紋圖像，該模型的輸出期望依然比較穩(wěn)定。

圖6 深度偽造指紋檢測模型的實現(xiàn)流程

2.4 主動保護框架

對于訓(xùn)練好的深度偽造指紋檢測模型，訓(xùn)練的參數(shù)中一部分神經(jīng)元對任務(wù)的決策至關(guān)重要，若剔除則會影響任務(wù)的輸出，被視為關(guān)鍵性神經(jīng)元；而有些神經(jīng)元有無與否對任務(wù)并無影響，被視為普通神經(jīng)元。本文提出的主動保護框架通過凍結(jié)模型中關(guān)鍵性神經(jīng)元，以禁止未授權(quán)用戶的使用。由于大部分神經(jīng)元位于卷積層，僅凍結(jié)卷積層中的關(guān)鍵性神經(jīng)元。首先，通過概率選擇策略篩選出關(guān)鍵性神經(jīng)元以便于后續(xù)的凍結(jié)操作。概率選擇是通過觀察丟棄某個神經(jīng)元后，對模型性能的變化程度，若明顯，則相應(yīng)的神經(jīng)元極為重要。另外，輸入樣本不同，對神經(jīng)元產(chǎn)生的刺激也不同。假設(shè)輸入樣本為x n(n=1,…,N)，訓(xùn)練的參數(shù)中必然存在一些關(guān)鍵性神經(jīng)元構(gòu)成集合剔除則會使性能陡然下降。由于會隨著xn的變化而變化。因此，每輸入一批樣本，模型就會產(chǎn)生一批不同的集合為了消除不同輸入產(chǎn)生的隨機性，當(dāng)所有樣本輸入后，統(tǒng)計每個神經(jīng)元入選集合的次數(shù)，并用pθ表示被選定的概率。若神經(jīng)元總在中，則為關(guān)鍵性神經(jīng)元，并賦值1。本文將概率選擇操作轉(zhuǎn)化為式(8)所示的優(yōu)化問題，通過優(yōu)化操作篩選出關(guān)鍵性神經(jīng)元，在不影響后門驗證的同時，還能確保選取的關(guān)鍵性神經(jīng)元盡可能少。

其中，β用來衡量與Bθ的逼近程度，u符合均勻分布U(01)，，α＞0 和γ＞0 為的可調(diào)整參數(shù)。由于Bθ在式(7)中已被放寬，且中零元素相對較少。采用文獻[37]中的累加分布函數(shù)，即

通過式(9)和式(11)將式(8)放寬，并將式(8)的優(yōu)化問題轉(zhuǎn)化為

利用式(12)對模型進行優(yōu)化，以完成關(guān)鍵性神經(jīng)元的篩選和保障后門的驗證；利用概率選擇操作將關(guān)鍵性神經(jīng)元進行凍結(jié)，并限制未授權(quán)用戶的使用；將凍結(jié)的神經(jīng)元劃分不同子集，讓每個子集均包含不同數(shù)量的神經(jīng)元，圖4 中的分發(fā)模塊通過選擇不同的子集來控制深度偽造指紋檢測模型的性能，而凍結(jié)模塊和解凍模塊分別用來進行關(guān)鍵性神經(jīng)元的凍結(jié)和解凍操作。

2.5 時間戳

任意數(shù)據(jù)經(jīng)過哈希運算[38]后均生成一個定長的輸出。該運算是單向的，即無法依據(jù)哈希值反推出原始數(shù)據(jù)。因此，使用時間戳對電子數(shù)據(jù)產(chǎn)生的時間進行簽名認(rèn)證，以證明其在某個偽造簽名之前就已存在。時間戳的生成操作如下。

1) 使用時間戳服務(wù)中心（TSSC,time stamp service center）提供的時間戳軟件，將電子數(shù)據(jù)加蓋時間戳并輸出哈希值A(chǔ)。

2) 將生成的哈希值A(chǔ)發(fā)送給TSSC，由TSSC記錄下生成的時間點，并將哈希值A(chǔ)與時間點拼接組成的新數(shù)據(jù)輸入哈希函數(shù)，構(gòu)建新的哈希值B。

3) TSSC 利用私鑰將哈希值B進行加密操作以防止B的泄露，將加密后的哈希值與時間點綁定封裝來生成時間戳，并返還給申請者保管。

時間戳的驗證步驟如下。

1) 將原有電子數(shù)據(jù)作為輸入，使用時間戳軟件求得哈希值A(chǔ)。

2) 把哈希值A(chǔ)與時間點作為輸入，得到哈希值B。

3) 利用TSSC 提供的公鑰將使用者保管的加密內(nèi)容進行解密，得到哈希值B′。

4) 通過對比哈希值B和哈希值B′，來判斷原有數(shù)據(jù)的時間點是否一致。

3 具體實施

3.1 數(shù)據(jù)集介紹

為了驗證本文所提算法的性能，使用的數(shù)據(jù)集分別來自2015 年、2017 年和2019 年的指紋活性檢測競賽，公開發(fā)布3 個指紋集LivDet2015、LivDet2017 和LivDet2019。其中，LivDet2015 指紋數(shù)據(jù)集中的圖像使用4 種不同的光學(xué)傳感器GreenBit、Biometrika、DigitalPersona 和Crossmatch 采集構(gòu)建而成，每類傳感器采集的指紋數(shù)量約為4 000 張。LivDet2017、LivDet2019 數(shù)據(jù)集中的圖像則是由 GreenBit、DigitalPersona、Orcanthus 這3 種不同光學(xué)設(shè)備所采集，LivDet2017 和LivDet2019 中每類光學(xué)傳感器采集的指紋約為6 000 張和4 000 張。

3.2 性能評價指標(biāo)

本文采用的深度偽造指紋檢測模型版權(quán)保護算法的性能指標(biāo)如下[13]。

1) 保真度。在神經(jīng)網(wǎng)絡(luò)模型中植入水印后，不能影響原始檢測模型的性能。

2) 高效性。植入的神經(jīng)網(wǎng)絡(luò)水印應(yīng)避免模型版權(quán)驗證時響應(yīng)時間過長。

3) 有效性。神經(jīng)網(wǎng)絡(luò)水印必須長期有效，對每個用戶保持獨一無二性。

4) 穩(wěn)健性。神經(jīng)網(wǎng)絡(luò)水印遭受常見的惡意攻擊后，依然存在且能用于后續(xù)的模型版權(quán)歸屬確權(quán)。

5) 安全性。用于模型版權(quán)驗證的水印不易被偽造、訪問和讀取。

3.3 后門的嵌入和提取

黑盒水印主要是通過構(gòu)造觸發(fā)集來為模型嵌入后門的。當(dāng)模型版權(quán)歸屬發(fā)生糾紛時，擁有者通過觸發(fā)集的特定輸出實現(xiàn)模型版權(quán)認(rèn)定，而偽造者無法提供該證明。觸發(fā)集的生成如式(13)所示。

其中，θ為檢測模型的相關(guān)參數(shù)，J(θ,x,y)為訓(xùn)練該模型的損失函數(shù)，?為梯度，sign(·) 為符號函數(shù)，ε為添加的擾動大小。通過逐漸添加擾動的方式使構(gòu)造的觸發(fā)集位于決策邊界附近。成功對手和失敗對手的對抗性指紋示例如圖7 所示，當(dāng)觸發(fā)集中樣本數(shù)量為4 時，圖7(a)為越過邊界的成功對手，圖7(b)為保持原有分類的失敗對手。

圖7 成功對手和失敗對手的對抗性指紋示例

后門的提取通過輸入觸發(fā)集樣本使成功對手和失敗對手都能被深度偽造指紋檢測模型正確分類，最理想的狀態(tài)是所有觸發(fā)樣本的標(biāo)簽與模型預(yù)測結(jié)果之間的距離為零。但是，由于深度偽造指紋檢測模型存在被攻擊和嵌入時觸發(fā)精度對原始任務(wù)的影響，導(dǎo)致誤報，因此，通過設(shè)計閾值θ對水印提取的性能進行評估。為了將錯誤率控制在0.05以內(nèi)，嵌入成功和失敗的概率均為0.5，觸發(fā)樣本服從二項分布即

其中，T為觸發(fā)集樣本的個數(shù)，為了使水印驗證有效，只需誤報數(shù)小于閾值，便認(rèn)為成功提取水印。如當(dāng)T=50 時，閾值為19，只要觸發(fā)集的標(biāo)簽與預(yù)測標(biāo)簽最大誤差小于19，則表明水印提取成功。

3.4 實驗結(jié)果

本文在不同數(shù)據(jù)集下進行了算法性能測試，在LivDet2017 中的Orcanthus 對不同卷積層模型分類精度進行了分析，不同卷積層數(shù)下的分類精度如圖8 所示。卷積層數(shù)為3 時，深偽檢測任務(wù)的性能最佳，因此在后續(xù)的實驗中，均采用4 個卷積層和3 個全連接層結(jié)構(gòu)，利用期望值進行最終決策，且差分隱私算法的強度分別設(shè)為ε=1.0，δ=0.05。目前，基于深層的偽造指紋檢測雖然已取得極高的性能，但是本文還是使用一個輕量級的模型進行版權(quán)保護：一方面，本文主要研究的是深偽檢測模型的版權(quán)保護任務(wù)，有別于傳統(tǒng)的深偽檢測任務(wù)，因而選用的是參數(shù)較少、層數(shù)較淺的模型；另一方面，鑒于移動終端的有限算力，本文期望設(shè)計的輕量化深偽指紋檢測模型能夠應(yīng)用在小型化的設(shè)備提供服務(wù)，如手機、平板等移動終端。

圖8 不同卷積層數(shù)下的分類精度

本文將LivDet2015 中的真假指紋圖像進行再整合，用于真?zhèn)螜z測模型的構(gòu)建，差分隱私對深度偽造指紋檢測模型分類精度的保護效果如圖9(a)所示，原始任務(wù)檢測模型分類精度為92%。當(dāng)使用觸發(fā)集微調(diào)決策邊界時，原始任務(wù)的分類精度下降了22%。雖然能夠鑒別模型版權(quán)歸屬，但此時的性能下降較明顯，不滿足版權(quán)保護算法中的保真度。通過引入噪聲層的方式重新構(gòu)造決策邊界，在完成版權(quán)歸屬確權(quán)同時，能夠減弱對任務(wù)性能的影響，僅下降3%。此外，本文還測試了LivDet2017 和LivDet2019中在不同傳感器下的保護效果，如圖9(b)所示。結(jié)果表明嵌入的后門不僅能夠被成功觸發(fā)，并且優(yōu)化后的決策邊界微調(diào)算法還能對原始任務(wù)起到較好的保護作用。為了進一步驗證所提框架的有效性，本文測試了不同用戶等級下的模型分類精度，如圖10 所示，結(jié)果表明所提算法依舊有效。

圖9 差分隱私對深度偽造指紋檢測模型分類精度的保護效果

圖10 不同用戶等級下的模型分類精度

若未授權(quán)用戶嘗試訪問深度偽造指紋模型，將拒絕提供服務(wù)，即使提供輸入數(shù)據(jù)，輸出的結(jié)果也將無任何參考價值。真?zhèn)沃讣y鑒別是一個二分類問題，性能最低為50%，相當(dāng)于隨機采樣的概率。為了驗證本文采用的概率選擇策略能夠降低模型分類精度，采用了以下4 種不同的策略對神經(jīng)元進行凍結(jié)。1) 隨機，隨機性地凍結(jié)神經(jīng)元。2) 均值，圍繞總體神經(jīng)元的均值凍結(jié)。3) 升序，按照神經(jīng)元的值從小到大凍結(jié)。4) 降序，按照神經(jīng)元的值從大到小凍結(jié)。將第2 個卷積層中的神經(jīng)元進行不同程度的凍結(jié)，模型的性能如圖11 所示，可觀察到本文采用的概率選擇策略僅需凍結(jié)4%左右的神經(jīng)元就能快速降低模型的分類精度，而其他4 種策略則需要凍結(jié)20%左右的神經(jīng)元。

圖11 不同凍結(jié)神經(jīng)元比例下的模型分類精度

3.5 模型穩(wěn)健性驗證

為了驗證深度偽造指紋檢測模型修改后是否具有穩(wěn)健性，本文還在LivDet2015 數(shù)據(jù)集下進行了穩(wěn)健性實驗。通過對參數(shù)進行修剪，將絕對值最小的權(quán)重剔除來模擬壓縮攻擊，結(jié)果表明構(gòu)造的觸發(fā)后門能夠抵擋模型壓縮攻擊。對模型壓縮的穩(wěn)健性如表1 所示，深度偽造指紋檢測模型能抵擋50%左右的壓縮攻擊。

表1 對模型壓縮的穩(wěn)健性

通過構(gòu)造大小不同的偽造觸發(fā)集來微調(diào)訓(xùn)練好的深度偽造檢測模型，對模型微調(diào)的穩(wěn)健性如表2所示。原有的觸發(fā)集能夠?qū)z測模型進行版權(quán)歸屬認(rèn)證，表明本文提出的觸發(fā)后門具有穩(wěn)健性，與對抗樣本難以防御的特性[39]相一致。

表2 對模型微調(diào)的穩(wěn)健性

除了上述2 種攻擊，攻擊者還可能對凍結(jié)的關(guān)鍵性神經(jīng)元進行再訓(xùn)練，嘗試重現(xiàn)原始任務(wù)。由于攻擊者事先無法獲悉檢測模型是在哪層執(zhí)行關(guān)鍵性神經(jīng)元凍結(jié)，只能通過固定其他層的神經(jīng)元對該層進行重訓(xùn)練。對于未授權(quán)用戶來講，該嘗試等同于重新訓(xùn)練一個原始任務(wù)模型。而攻擊者是因為計算資源有限，為了降低模型的訓(xùn)練成本，才會盜取合法用戶的知識產(chǎn)權(quán)。因此，攻擊者不會花費更多訓(xùn)練代價來獲取模型的使用權(quán)，使主動保護方案具有穩(wěn)健性。即使使用者被策反，模型擁有者依然可借助時間戳進行模型版權(quán)歸屬確權(quán)，本文所提的框架依然具有穩(wěn)健性。

3.6 水印驗證框架

深度偽造指紋檢測模型在抵抗模型微調(diào)攻擊的同時，也會存在多個水印共存問題，間接發(fā)生水印的混淆。攻擊者對模型進行微調(diào)攻擊后，盡管模型性能會下降，但是攻擊者寧愿犧牲檢測模型的準(zhǔn)確率。為了保障安全，本文設(shè)計了一種新的水印驗證框架，當(dāng)發(fā)生水印混淆時，由權(quán)威第三方提供時間戳的生成和認(rèn)證服務(wù)，模型所有者僅需向權(quán)威第三方提供觸發(fā)集，使用SHA-256 哈希運算來為觸發(fā)集生成時間戳。當(dāng)需要版權(quán)確權(quán)時，再次向權(quán)威第三方提供觸發(fā)集，借助時間戳認(rèn)證服務(wù)，通過時間先后來對混淆后的版權(quán)進行認(rèn)證。模型所有者把爭議模型以及觸發(fā)集提供給權(quán)威第三方，權(quán)威第三方通過SHA-256 哈希函數(shù)給觸發(fā)集加蓋時間戳，把生成的哈希值交還給模型所有者，形成證據(jù)。當(dāng)發(fā)生水印混淆的時候，模型所有者和攻擊者都需要把哈希值和觸發(fā)集提交給權(quán)威第三方進行認(rèn)證。最后權(quán)威第三方通過時間戳的哈希值，來判斷時間節(jié)點的先后順序，生成時間戳靠前的版權(quán)驗證者為模型的真正所有者。

3.7 方法的通用性

除了在3 個公開的指紋數(shù)據(jù)集上進行了版權(quán)歸屬驗證，本文還在Cifar10 數(shù)據(jù)集上進行了通用性測試，本文算法同樣表現(xiàn)出較好性能，如表3 所示。通過與現(xiàn)有的5 種算法[22-23,25]對比可知，當(dāng)模型嵌入黑盒水印后，原始任務(wù)分類精度都會退化，相比較而言，本文算法分類精度降幅更小，基本上可忽略，對原始任務(wù)影響較小。

表3 算法的通用性性能

4 結(jié)束語

在保密通信過程中，指紋識別是應(yīng)用最廣的身份識別技術(shù)，對保障隱私安全和查驗用戶身份的合法與否至關(guān)重要。近年來，研究者發(fā)現(xiàn)其易遭受偽造指紋的欺騙攻擊，偽造指紋檢測技術(shù)應(yīng)運而生。但是訓(xùn)練一個鑒別真假指紋的深層模型需要海量的數(shù)據(jù)和超強的算力，高敏感型的指紋被收集后存在泄露風(fēng)險，而深度偽造指紋檢測模型的濫用勢必會導(dǎo)致個人隱私的泄露和知識產(chǎn)權(quán)侵權(quán)風(fēng)險，對深偽檢測模型進行版權(quán)保護迫在眉睫。針對傳統(tǒng)黑盒版權(quán)保護算法存在削弱原始任務(wù)性能且適用于模型事后確權(quán)的問題。本文提出一種基于差分隱私的深度偽造指紋檢測模型版權(quán)保護算法，在實現(xiàn)版權(quán)的主動保護和被動驗證的同時，能夠兼顧原始任務(wù)分類精度。為解決傳統(tǒng)的決策邊界微調(diào)算法造成的原始任務(wù)分類精度下降問題，本文在檢測模型中引入了噪聲層模塊，旨在特征提取過程中引入隨機性，并利用差分隱私算法的期望穩(wěn)健性進行最終的決策，以訓(xùn)練一個對噪聲不敏感的深度偽造指紋檢測模型。通過對抗訓(xùn)練來微調(diào)該模型的決策邊界為其嵌入后門，使嵌入后門后的決策邊界只發(fā)生輕微變化。采用概率選擇策略對深度偽造指紋檢測模型的神經(jīng)元進行選擇性凍結(jié)，讓忠誠的用戶可解凍更多數(shù)量的神經(jīng)元，以實現(xiàn)對該模型的主動保護。此外，還設(shè)計了一種水印驗證框架，攻擊者通過偽造觸發(fā)集來為模型植入后門水印，致使模型版權(quán)發(fā)生了混淆。當(dāng)模型面對混淆攻擊時，所有者可通過時間戳的順序，對該模型版權(quán)進行驗證。實驗結(jié)果表明，本文設(shè)計的版權(quán)保護算法對多種不同攻擊具有一定的穩(wěn)健性。

由于模型版權(quán)保護研究還處于起步階段，尤其是基于生物特征的神經(jīng)網(wǎng)絡(luò)模型，目前還沒有統(tǒng)一的性能評價指標(biāo)，如何為不同模型和不同的版權(quán)保護方法設(shè)計統(tǒng)一的指標(biāo)是接下來需要研究的內(nèi)容。