大家读完觉得有帮助记得关注和点赞!!!
摘要
基于对抗样本的指纹识别方法利用深度神经网络的决策边界特性来构造指纹,已被证明对保护模型所有权有效。然而,一个根本性挑战仍未解决:指纹应放置在离决策边界多远的位置,才能同时满足有效和可靠所有权保护所需的两个基本属性——鲁棒性和唯一性。尽管指纹到边界的距离至关重要,现有工作没有提供理论解,而是依赖经验启发式来确定它,这可能导致违反鲁棒性或唯一性属性。
我们提出了AnaFP,一种在理论指导下构造指纹的分析性指纹识别方案。具体来说,我们将指纹生成任务表述为通过一个可调的拉伸因子来控制指纹到边界的距离。为了确保鲁棒性和唯一性,我们数学形式化了这些属性,确定了拉伸因子的下界和上界。这些界限共同定义了一个可容许区间,拉伸因子必须位于该区间内,从而在两个约束条件与指纹到边界的距离之间建立了理论联系。为了实现实际的指纹生成,我们使用两个有限的替代模型池来近似原始模型集,并采用基于分位数的松弛策略来放宽推导出的界限。特别是,由于下界和拉伸因子之间的循环依赖,我们在可容许区间上应用网格搜索策略来确定最可行的拉伸因子。广泛的实验结果表明,AnaFP在不同模型架构和模型修改攻击下始终优于先前的方法,实现了有效且可靠的所有权验证。
1 引言
深度神经网络在实际部署中日益容易受到模型盗版的影响。攻击者可能窃取模型,应用保持性能的模型修改攻击以逃避检测,并将这些盗版模型作为黑盒服务分发,从而通过公开使用获利,同时隐藏模型的内部细节。这种新兴威胁引发了对DNN模型知识产权保护的严重担忧。到目前为止,广泛的研究已经探索了所有权保护技术,如数字水印和指纹识别。虽然水印涉及将可识别模式嵌入DNN模型中——这可能会引入新的安全漏洞,但指纹识别提供了一种非侵入式的替代方案,利用模型的内在特性生成独特的、可验证的指纹。这种非侵入式的特性使指纹识别成为一种越来越有吸引力的所有权保护方法。
迄今为止,已经提出了广泛的模型指纹识别方案。这些方案涉及两个阶段:指纹生成和所有权验证。在指纹生成阶段,利用受保护DNN模型的固有特性精心构造能够引发模型特定响应的指纹。在随后的所有权验证阶段,这些指纹用于评估可疑模型是否是受保护模型的盗版版本。目标是可靠地识别源自受保护模型的盗版模型,同时避免错误地将独立训练的模型归因于受保护模型。为确保这一点,有效的指纹必须表现出两个基本属性:1)鲁棒性——能够承受保持性能的模型修改;2)唯一性——能够区分受保护模型与其他独立训练的模型。
现有模型指纹识别方案中一个突出的工作分支建立在一个关键观察之上:即使是在相同数据集上训练的模型,其决策边界也具有高度的模型特异性。这激发了基于对抗样本的指纹识别方法,利用模型的独特决策边界特性来构造指纹。更具体地说,通过对输入样本施加最小扰动,将其推过受保护模型的决策边界,从而构造指纹,类似于对抗样本生成。由于决策边界的内在差异,这种扰动通常会在受保护模型中引起预测变化,但对独立训练的模型影响不大。由此产生的预测不对称性使得能够为所有权验证构建独特且可靠的指纹。
然而,基于对抗样本的指纹识别中一个根本性挑战是:指纹应放置在离决策边界多远的位置,才能同时满足鲁棒性和唯一性的要求?确保唯一性需要将指纹放置在靠近决策边界的位置,而增强鲁棒性则需要将指纹放置在远离边界的位置。最近的工作采用了启发式策略来凭经验选择指纹到边界的距离。然而,这种方法缺乏理论指导,可能导致指纹违反所需的两个属性。因此,如何从理论上确定同时满足唯一性和鲁棒性要求的指纹到边界的距离仍然是一个悬而未决的问题。
在本文中,我们提出了AnaFP,一种在理论指导下构造指纹的分析性对抗样本指纹识别方案。具体来说,我们首先从用于训练受保护模型的数据集中识别高置信度样本作为指纹生成的锚点。对于每个锚点,我们计算一个最小扰动,该扰动会导致受保护模型中的预测发生变化,从而确保强的唯一性。为了进一步提高鲁棒性,我们引入了一个拉伸因子来缩放扰动,从而控制指纹到决策边界的距离。为了确保鲁棒性和唯一性,我们数学形式化了鲁棒性和唯一性约束,并据此从理论上推导出拉伸因子的下界和上界。这些界限定义了一个可容许区间,拉伸因子必须位于该区间内,从而在两个约束条件与指纹到边界的距离之间建立了理论联系。
虽然这种理论关系提供了强有力的理论保证,但其实际实施带来了几个挑战。首先,计算界限需要对所有可能的盗版模型和独立训练模型进行最坏情况参数估计——这是两个理论上无限的集合。因此,我们使用两个替代模型池来近似这两个集合。其次,使用最坏情况估计通常会导致过于保守的界限,从而降低指纹构建的可行性。为了缓解这个问题,我们采用了一种基于分位数的松弛机制,通过基于分位数的参数估计来放宽两个界限。第三,下界和拉伸因子之间存在循环依赖。我们通过在可容许区间上应用网格搜索策略来解决这个问题,以确定拉伸因子的最可行值。我们进行了大量跨不同模型架构和数据集的实验,实验结果表明,即使在保持性能的模型修改攻击下,AnaFP也能始终实现卓越的所有权验证性能,优于现有的基于对抗样本的指纹识别方法。
2 背景
2.1 对抗样本
对抗样本是从干净数据集的样本中精心构造的,以诱导目标模型做出错误的预测。给定一个模型 f 和一个干净数据集 D 中的输入标签对 (x, y),可以通过求解以下问题来获得一个对抗样本 x̂ = x + δ:
min ‖x - x̂‖, s.t. f(x̂) ≠ y, (1)
其中 ‖·‖ 表示距离度量,扰动 δ 被约束以确保不可感知性。通过以最小扰动诱导错误分类,对抗样本揭示了模型决策边界的独特特征。这一特性使它们对于构建捕获用于所有权验证的模型特定行为的指纹特别有效。
2.2 模型修改攻击
为了规避所有权验证,攻击者通常会发起保持性能的模型修改攻击,这些攻击会改变盗版模型的决策边界,同时保持预测准确性。常见的技术包括微调、剪枝、知识蒸馏和对抗训练。具体来说,微调通过额外的模型训练调整盗版模型的权重;剪枝移除盗版模型中较不重要的权重或神经元以重塑其结构;知识蒸馏训练一个具有不同结构和参数的新模型来复制盗版模型的行为;对抗训练使用干净数据和对抗样本的混合来更新模型权重,从而对基于对抗样本的指纹识别方法构成独特威胁。更糟糕的是,攻击者可能会结合多种技术,例如剪枝后进行微调,以引起决策边界的显著偏移,从而增加指纹失效的可能性。
3 问题形式化
(图1说明)
一个典型的模型指纹识别场景。
我们考虑一个典型的简化模型指纹识别场景,涉及两方:模型所有者和攻击者,如图1所示。具体来说,模型所有者训练一个DNN模型 P 并将其作为服务部署。攻击者获取 P 的未经授权副本,对其应用保持性能的模型修改,然后以黑盒方式重新分发盗版模型。令 𝒱_P 表示源自 P 的盗版模型集。为了保护 P 的知识产权,模型所有者利用对抗样本技术为 P 生成一组指纹 ℱ。一旦识别出可疑模型 S,所有者通过使用 ℱ 中的指纹查询 S 来启动所有权验证。目标是确定 S 是属于盗版模型集 𝒱_P 还是独立模型集 ℐ_P,后者包括在未访问 P 的情况下从头开始独立训练的模型。
为了实现可靠的验证,指纹集 ℱ = { (x_i^, y_i^) | 1 ≤ i ≤ N_f },其中 N_f 是指纹数量,x_i^* ∈ 𝒳 ∈ ℝ^{d₁×…×dₙ} 是指纹 i 的输入,y_i^* ∈ 𝒴 = {1,…,K} 是相应的目标标签,其构造目标是满足以下属性:
鲁棒性:任何指纹 (x_i^, y_i^) ∈ ℱ 在保持性能的修改攻击下仍然有效,即对于 ∀ P' ∈ 𝒱_P,P'(x_i^) = y_i^。
唯一性:任何指纹 (x_i^, y_i^) ∈ ℱ 不太可能被任何独立训练的模型正确预测,即对于 ∀ I ∈ ℐ_P,I(x_i^) ≠ y_i^。
4 AnaFP 的设计
(图2说明)
指纹生成和所有权验证的流程。
我们提出了AnaFP,一个分析性的指纹识别方案,它数学形式化了鲁棒性和唯一性属性,构建满足这些约束的松弛版本的实际指纹,并利用这些指纹进行所有权验证。如图2所示,AnaFP包括两个阶段:指纹生成和所有权验证。具体来说,指纹生成阶段由四个主要步骤组成。第一步从干净数据集中选择高置信度样本作为锚点,确保独立训练的模型以高概率预测其原始标签。第二步为每个锚点计算一个最小扰动,使得受保护模型在评估扰动后的锚点时输出与原始锚点不同的标签。第三步为每个锚点计算一个拉伸因子。为此,首先通过数学形式化鲁棒性和唯一性约束,然后基于替代参数估计和基于分位数的松弛来放宽形式化的约束,从而推导出拉伸因子的可容许区间。利用这个区间,通过网格搜索策略确定一个可行的拉伸因子。第四步首先将扰动乘以获得的拉伸因子,然后将其应用于相应的锚点来生成指纹。所有生成的指纹构成最终指纹集,将用于所有权验证。下面,我们详细说明指纹生成的四个步骤和所有权验证协议。
4.1 第一步:选择高置信度锚点
在第一步中,我们从用于训练受保护模型的训练数据集中识别高置信度样本。这些输入-标签对,称为锚点,是基于模型正确预测其标签的置信度来选择的。为了量化置信度,我们定义样本 (x, y) ∈ D 相对于受保护模型 P 的逻辑值裕量为 g_P(x) = s_{P,y}(x) - max_{k≠y} s_{P,k}(x),其中 s_{P,k}(x) 是 P 为输入 x 输出的类别 k 的逻辑值。
我们通过选择逻辑值裕量超过预定义阈值 m_anchor 的样本来构建锚点集 𝒜,即 𝒜 = { (x_a, y) ∈ D | g_P(x_a) ≥ m_anchor }。直观地说,高裕量样本表现出类别区分特征,这些特征在独立训练的模型中能够被可靠地捕获。因此,使用这些样本作为锚点有助于增强生成指纹的唯一性。
4.2 第二步:计算最小决策改变扰动
在第二步中,我们为每个锚点计算一个最小扰动,并应用它来生成一个使受保护模型改变其预测的扰动锚点。给定一个锚点 (x_a, y),我们将决策改变扰动最小化问题表述为
δ* = argmin_δ ‖δ‖₂, s.t. P(x_a + δ) ≠ y, (2)
其中 δ* 是锚点 (x_a, y) ∈ 𝒜 的最小扰动,‖·‖₂ 是 ℓ₂ 范数。
为了求解该问题,我们采用 Carlini & Wagner ℓ₂ 攻击来高效计算 δ。得到的扰动输入是 q = x_a + δ,我们称之为边界点,因为它位于受保护模型的决策边界上。这是离锚点 (x_a, y) 最近的点,在该点受保护模型 P 将其预测改变为不同的标签。
4.3 第三步:在理论约束下搜索拉伸因子
由于边界点直接位于决策边界上,它们极易受到模型修改引起的边界偏移的影响,常常导致模型预测发生变化。为了提高鲁棒性,我们沿着扰动方向拉伸 δ,并将其应用于锚点以生成位于离边界更远位置的指纹。具体来说,给定一个锚点 (x_a, y),相应的指纹定义为 (x= x_a + τ δ, y= P(x*)),其中 τ > 1 是一个拉伸因子,控制指纹到决策边界的距离。
一个核心挑战在于选择合适的拉伸因子 τ,因为生成的指纹需要同时满足鲁棒性和唯一性属性。为了数学形式化这些要求,我们首先定义相对于 τ 的下界 τ_lower 和上界 τ_upper,分别对应于鲁棒性和唯一性约束:鲁棒性约束要求 τ > τ_lower,而唯一性约束要求 τ < τ_upper。然后,我们推导出一个理论约束,定义拉伸因子 τ 的可容许区间:
1 + (2 ϵ_logit) / (c_g ‖δ*‖) = τ_lower < τ < τ_upper = m_min / (2 L_uniq ‖δ*‖), (3)
其中 c_g = ‖∇g_P(q)‖₂ 是逻辑值裕量函数 g_P 在边界点 q = x_a + δ* 处的梯度范数,m_min、L_uniq 和 ϵ_logit 定义如下:
m_min:独立训练模型在锚点 (x_a, y) 处的逻辑值裕量的下界:对于 ∀ k ∈ 𝒴, ∀ I ∈ ℐ_P,s_{I,y}(x_a) - max_{k≠y} s_{I,k}(x_a) ≥ m_min。
L_uniq:独立训练模型在 x_a 和 x* 之间区域中的局部 Lipschitz 常数的上界,使得对于 ∀ I ∈ ℐ_P,‖s_I(x) - s_I(x_a)‖₂ / ‖x- x_a‖₂ ≤ L_uniq,s_I(·) 是独立训练模型 I 的逻辑值向量。
ϵ_logit:由于对受保护模型 P 施加保持性能的模型修改攻击,在 x* 处逻辑值偏移的上界:对于 ∀ k ∈ 𝒴, ∀ P' ∈ 𝒱_P,|s_{P',k}(x) - s_{P,k}(x)| ≤ ϵ_logit。
等式(3)的详细推导见附录A。
4.3.1 参数估计与松弛
基于替代的估计。m_min、L_uniq 和 ϵ_logit 是在 𝒱_P 和 ℐ_P 上定义的,然而,这些集合分别包含无限多个模型。因此,直接计算它们是不可能的。为了解决这个问题,一种常见的方法是引入两个有限的替代模型池来近似原始集合:一个替代盗版池 𝒱_P^s 和一个替代独立池 ℐ_P^s。𝒱_P^s 包含受保护模型 P 及其盗版变体,而 ℐ_P^s 由独立训练的模型组成。
然后,每个参数在相应的替代池上进行估计:m_min 估计为 ℐ_P^s 上的最小裕量,L_uniq 估计为 ℐ_P^s 上的最大局部 Lipschitz 常数,ϵ_logit 估计为 𝒱_P^s 上的最大逻辑值偏移。虽然这些有限的替代池作为无限集 ℐ_P 和 𝒱_P 的实际近似,但这种替代不可避免地放松了原始的理论约束并引入了近似误差。尽管这种误差在理论上难以处理,并且取决于替代模型的选择,但第5.2.1节的实验结果表明,AnaFP 对池大小和多样性变化具有鲁棒性,始终产生稳定的验证性能。
基于分位数的松弛。直接采用最保守的估计,即 m_min 的最小值和 L_uniq、ϵ_logit 的最大值,可能会导致 τ 的下界和上界过于严格,可能导致没有指纹能同时满足鲁棒性和唯一性的约束。为了解决这个问题,我们采用了一种基于分位数的松弛策略。我们不是使用极值,而是根据其在替代池上的经验分位数分布来估计每个参数:m_min 设置为 ℐ_P^s 上计算的逻辑值裕量的 q_margin 分位数,L_uniq 设置为 ℐ_P^s 上局部 Lipschitz 常数的 q_lip 分位数,ϵ_logit 设置为 𝒱_P^s 上测量的逻辑值偏移的 q_eps 分位数。通过这种方式,我们放宽了 τ 的下界和上界,在理论严谨性和实际可行性之间取得平衡。
4.3.2 寻找可行 τ 的网格搜索策略
根据等式(3),拉伸因子 τ 受到下界 τ_lower 和上界 τ_upper 的约束。虽然 τ_upper 可以使用估计的参数显式计算,但 τ_lower 被隐式定义为 τ 的函数——因为它取决于点 x* = x_a + τ δ* 处的逻辑值偏移。这种循环依赖给直接求解 τ_lower 带来了不小的挑战。因此,有必要寻找一个可行的 τ 值,使其满足约束 τ_lower(τ) ≤ τ ≤ τ_upper,并同时在生成的指纹中实现唯一性和鲁棒性之间的平衡。
为了解决这个问题,我们利用网格搜索策略来确定可行的 τ。具体来说,鉴于 τ_lower = 1 + (2ϵ_logit)/(c_g‖δ*‖) ≥ 1,我们将搜索区间定义为 (1, τ_upper]。我们首先通过在该区间内均匀采样拉伸因子来构建一个候选集 𝒯。对于每个 τ ∈ 𝒯,我们计算 τ_lower(τ) 并保留那些满足 τ ≥ τ_lower(τ) 的候选以形成可行集 𝒯_feas。如果在搜索区间内不存在有效的 τ(即 𝒯_feas = ∅),则丢弃相应的锚点,因为它无法在松弛约束下产生有效指纹。这种不可行性可能出现在两种情况:(i) τ_upper < 1,导致区间无效;或 (ii) τ_upper ≥ 1,但没有候选 τ 满足 τ > τ_lower(τ)。最后,从可行集 𝒯_feas 中,我们通过 τ* = argmax_{τ∈𝒯_feas} min{τ - τ_lower(τ), τ_upper - τ} 选择最可行的拉伸因子 τ*。此选择最大化了两个边界的余量,从而为参数估计误差提供了最大的容忍度。
4.4 第四步:构建指纹集
为每个保留的锚点 x_i^a 确定最可行的拉伸因子 τ_i* 后,我们继续生成相应的指纹。具体来说,我们将最小决策改变扰动 δ_i* 乘以 τ_i,将其应用于锚点 x_i^a,然后记录受保护模型 P 分配的结果标签。最终指纹集 ℱ 构建为:ℱ = { (x_i^, y_i^) | (x_i^, y_i^) = (x_i^a + τ_iδ_i^, P(x_i^a + τ_iδ_i^*)) }_{i=1}^{N_f}。通过使用多个指纹,我们提出的方案减轻了第三步中参数估计和松弛期间引入的近似误差对单个指纹验证性能的潜在影响,从而增强了所有权验证的整体可靠性。
4.5 验证协议
给定一个可疑模型 S,模型所有者使用 ℱ = { (x_i^, y_i^) }{i=1}^{N_f} 中的指纹查询 S 来验证所有权。具体来说,对于一个指纹 (x_i^, y_i^) ∈ ℱ,模型所有者使用 x_i^* 查询 S,并将返回的标签 S(x_i^) 与 y_i^进行比较。如果 S(x_i^) = y_i^,模型所有者将其计为一次匹配。在查询所有指纹后,模型所有者计算匹配率 α_S = (1/N_f) Σ{i=1}^{N_f} 𝟙[ S(x_i^) = y_i^],其中 𝟙[·] 是指示函数。如果 α_S ≥ θ,其中 θ ∈ [0,1] 是决策阈值,则可疑模型 S 被分类为盗版;否则,被视为独立模型。
5 实验
我们进行了大量实验,以评估AnaFP在三种代表性类型的深度神经网络上的有效性:在CIFAR-10数据集和CIFAR-100数据集上训练的卷积神经网络模型、在MNIST数据集上训练的多层感知机模型,以及在PROTEINS数据集上训练的图神经网络模型。
模型构建。对于每个任务,我们指定一个受保护模型,并构建两个替代模型集以及两个测试模型集:
受保护模型:CNN、MLP 和 GNN 的受保护模型架构分别是 ResNet-18、ResMLP 和 GAT。
替代模型集:对于每个任务,我们构建一个包含六个模型的盗版模型池,这些模型通过对受保护模型进行两种模拟的保持性能修改获得(微调和知识蒸馏);以及一个包含六个独立训练模型的独立模型池,这些模型使用两种不同的架构和随机种子从头开始训练。
测试模型集:对于每个任务,我们通过修改攻击构建一个盗版模型集,包括剪枝、微调、知识蒸馏、对抗训练、N-finetune(向权重注入噪声后进行微调)和 P-finetune(剪枝后进行微调)。每种类型的模型修改使用不同的随机种子产生20个变体,在此集中产生120个盗版模型。此外,我们构建了一个独立模型集,独立训练的模型使用不同的架构和种子从头开始训练,未访问受保护模型及其变体。该集包含120个独立训练的模型。
这两个测试集构成了用于测试AnaFP是否能够有效区分盗版模型和独立训练模型的评估基准。用于性能测试的测试模型在指纹生成过程中都是未见/未知的,并且与替代池中的模型没有重叠。
基线。我们将 AnaFP 与六种代表性的模型指纹识别方法进行比较:UAP,它生成通用对抗扰动作为指纹;IPGuard,它探测边界附近的样本以捕获模型特定行为;MarginFinger,它控制指纹与决策边界之间的距离以获得鲁棒性;AKH,一种最近提出的指纹识别方法,使用受保护模型的误分类样本作为指纹;GMFIP,一种最近提出的非对抗样本指纹识别方法,训练生成器来合成指纹样本;以及 ADV-TRA,一种指纹识别方法,构造跨越多个边界的对抗轨迹。
评估指标。我们采用接收者操作特征曲线下面积作为主要指标。AUC 衡量随机选择的盗版模型与随机选择的独立训练模型相比,其指纹匹配率更高的概率,从而量化指纹在所有可能决策阈值下的判别能力。AUC 值越高表示判别能力越强,AUC 为 1.0 表示能够完美区分盗版模型和独立训练模型。
表 1:不同方法在 DNN 模型和数据集上取得的 AUC。
| 方法 | CNN (CIFAR-10) | CNN (CIFAR-100) | MLP (MNIST) | GNN (PROTEINS) |
|---|---|---|---|---|
| AnaFP (ours) | 0.957 ± 0.002 | 0.893 ± 0.005 | 0.963 ± 0.002 | 0.926 ± 0.005 |
| UAP | 0.850 ± 0.010 | 0.806 ± 0.021 | 0.906 ± 0.004 | – |
| IPGuard | 0.715 ± 0.075 | 0.725 ± 0.090 | 0.873 ± 0.018 | 0.636 ± 0.067 |
| MarginFinger | 0.671 ± 0.064 | 0.630 ± 0.072 | 0.653 ± 0.051 | – |
| AKH | 0.723 ± 0.016 | 0.802 ± 0.019 | 0.851 ± 0.013 | 0.854 ± 0.021 |
| ADV-TRA | 0.878 ± 0.012 | 0.850 ± 0.024 | 0.887 ± 0.005 | – |
| GMFIP | 0.814 ± 0.047 | 0.781 ± 0.075 | 0.892 ± 0.023 | – |
5.1 我们设计的有效性
AnaFP 的判别能力。为了评估 AnaFP 的判别能力,我们在不同类型的 DNN 模型上进行了实验。注意,UAP 和 MarginFinger 未在 GNN 上评估,因为它们是针对具有欧几里得结构的数据设计的,无法泛化到图结构数据。
图3
所有实验独立运行五次,以计算运行间的均值和标准差。
实验结果总结在表 1 中。具体来说,我们观察到 AnaFP 在所有评估设置中始终达到最高的 AUC,而基线在不同模型和数据集上表现出显著的变化。这一观察强调了 AnaFP 在区分盗版模型和独立训练模型方面的优越性,展示了其在所有权验证方面的有效性。
为了进一步说明 AnaFP 的判别能力,我们在一个代表性案例(在 CIFAR-10 上训练的 CNN 模型)中展示了 ROC 曲线和指纹匹配率分布。ROC 曲线绘制了不同验证阈值下的真阳性率与假阳性率的关系,提供了指纹判别能力的全面视图。曲线越接近左上角,表明盗版模型和独立训练模型之间的可分离性越强。如图 3(a) 所示,AnaFP 实现了最有利的 ROC 曲线,接近左上角,而基线方法的曲线相对更靠近对角线,表明判别能力较弱。这一结果进一步证实了 AnaFP 在区分盗版和独立训练模型方面的卓越性能。另一方面,图 3(b) 通过箱线图展示了两种模型集的指纹匹配率分布。匹配率反映了模型返回预期标签的指纹比例。盗版模型和独立训练模型的分布之间分离程度越大,表明判别能力越高。如图所示,AnaFP 呈现出明显分离的分布,从而实现可靠的验证结果。相比之下,基线显示出重叠的分布,表明其验证决策存在模糊性。
表 2:在各种保持性能的模型修改下的 AUC。
| 方法 | 剪枝 | 微调 | KD | AT | N-finetune | P-finetune | Prune-KD |
|---|---|---|---|---|---|---|---|
| AnaFP (ours) | 1.000 ± 0.000 | 0.979 ± 0.008 | 0.756 ± 0.023 | 0.983 ± 0.015 | 0.978 ± 0.010 | 0.989 ± 0.007 | 0.689 ± 0.031 |
| UAP | 1.000 ± 0.000 | 0.868 ± 0.023 | 0.679 ± 0.013 | 0.783 ± 0.041 | 0.870 ± 0.021 | 0.876 ± 0.022 | 0.625 ± 0.026 |
| IPGuard | 0.999 ± 0.002 | 0.741 ± 0.113 | 0.559 ± 0.105 | 0.616 ± 0.026 | 0.679 ± 0.104 | 0.671 ± 0.106 | 0.596 ± 0.079 |
| MarginFinger | 1.000 ± 0.000 | 0.658 ± 0.119 | 0.554 ± 0.083 | 0.672 ± 0.087 | 0.586 ± 0.064 | 0.638 ± 0.115 | 0.543 ± 0.088 |
| AKH | 0.999 ± 0.001 | 0.848 ± 0.016 | 0.616 ± 0.054 | 0.627 ± 0.122 | 0.716 ± 0.039 | 0.701 ± 0.052 | 0.636 ± 0.047 |
| ADV-TRA | 1.000 ± 0.000 | 0.923 ± 0.010 | 0.660 ± 0.025 | 0.742 ± 0.036 | 0.895 ± 0.032 | 0.857 ± 0.013 | 0.633 ± 0.035 |
| GMFIP | 0.999 ± 0.001 | 0.779 ± 0.054 | 0.591 ± 0.035 | 0.711 ± 0.084 | 0.858 ± 0.031 | 0.819 ± 0.061 | 0.601 ± 0.068 |
对保持性能的模型修改攻击的鲁棒性。我们使用七种代表性攻击评估 AnaFP 对保持性能的模型修改的鲁棒性:剪枝、微调、知识蒸馏、对抗训练和三种复合攻击。表 2 显示了在 CNN 模型下每种攻击下 AnaFP 和六种基线获得的 AUC。在剪枝攻击下,所有方法都实现了近乎完美的性能。然而,AnaFP 在其余攻击下始终优于基线,包括微调、KD、AT、N-finetune、P-finetune 和 Prune-KD。值得注意的是,AnaFP 在微调、AT、N-finetune 和 P-finetune 上分别实现了 0.979、0.983、0.978 和 0.989 的平均 AUC,显示出对这些攻击的强大抵抗力。尽管 KD 和 Prune-KD 通过在不保留内部结构和权重的情况下蒸馏知识带来了独特的挑战,但 AnaFP 仍保持了领先的 AUC 0.756 和 0.689,超过了所有基线。这些结果共同证明了 AnaFP 对各种模型修改攻击的鲁棒性。
5.2 对设计选择的敏感性
5.2.1 替代模型池的影响
为了评估 AnaFP 在不同替代池配置下的鲁棒性,我们考察了两个关键因素:池大小和池多样性。
对池大小的敏感性。我们通过改变每个池中的模型数量(考虑包含 2、4、6、8 和 10 个模型的配置)来研究替代池大小对验证性能的影响。如图 4 中的折线图所示,一旦池大小超过 6 个模型,AUC 迅速稳定。这一发现表明,AnaFP 仅使用适度的替代模型数量就能实现稳定可靠的验证性能,表明对池大小具有鲁棒性。
对池多样性的敏感性。我们进一步分析替代集多样性对验证性能的影响,通过构建具有不同模型多样性水平的池。在低多样性设置中,盗版模型池仅由受保护模型的微调变体组成,独立模型池包含与受保护模型共享相同架构的独立训练模型。中多样性设置将盗版池的多样性扩展到包括微调和知识蒸馏模型,而独立池包含具有两种不同架构的模型。
(图4说明)
折线图(上轴):替代池大小的影响;条形图(下轴):替代池多样性的影响。
在高多样性设置中,我们进一步将噪声微调的盗版变体纳入盗版池,并将具有三种不同架构的独立训练模型纳入独立池。如图 4 中的条形图所示,增加多样性通常会提高 AUC。然而,从中等到高多样性带来的性能提升是微乎其微的,表明收益递减。重要的是,即使在低多样性设置下,AnaFP 也保持了 0.912 的强大 AUC,表明其对替代池多样性的变化具有鲁棒性。
总之,这些结果表明 AnaFP 对替代池的具体配置不敏感。使用适度的替代模型数量且无需广泛的多样性即可实现可靠的所有权验证,这突显了 AnaFP 的实用性和泛化性。
5.2.2 分位数阈值的影响
为了评估分位数阈值如何影响验证性能,我们对 q_margin 和 q_lip 进行了敏感性研究,同时将 q_eps 固定为 1.0,因为发现其影响在实践中可以忽略不计。结果总结在表 3 中。过于严格的阈值导致没有有效指纹,使得所有权验证不可能实现。即使使用稍微放宽的阈值,有效指纹的数量仍然很少,导致 AUC 较低。随着阈值的适度放宽,有效指纹的数量增加,验证性能迅速稳定。值得注意的是,从某个配置开始,所有后续阈值对产生的 AUC 值都超过 0.950,这表明一旦建立了足够大且可靠的指纹集,验证性能对进一步的阈值变化就变得鲁棒。然而,过度放松会引入大量低质量指纹,最终削弱判别能力。总体而言,这些发现表明 AnaFP 的验证性能对分位数阈值的精确选择不高度敏感。只要阈值适度放宽,无需大量调整即可获得高质量的指纹池。
表 3:分位数阈值的影响。
| q_margin / q_lip | 0.1/0.9 | 0.2/0.8 | 0.3/0.7 | 0.4/0.6 | 0.5/0.5 | 0.6/0.4 | 0.7/0.3 | 0.8/0.2 | 0.9/0.1 |
|---|---|---|---|---|---|---|---|---|---|
| 有效指纹数 | 0 | 0 | 11 | 33 | 56 | 103 | 228 | 428 | 1158 |
| AUC | – | – | 0.848 | 0.906 | 0.957 | 0.959 | 0.951 | 0.938 | 0.896 |
5.3 拉伸因子 τ 的消融研究
(图5说明)
AnaFP 和三个变体取得的 AUC。
为了评估拉伸因子 τ 对验证性能的影响,我们使用 AnaFP 的五个变体进行了消融研究:A-lower、A-upper、C-fix、C-lower 和 C-upper。
图 5 显示了 AnaFP 及其变体取得的 AUC 值。具体来说,AnaFP 始终优于所有五个变体,验证了在其可容许区间内搜索可行 τ 的重要性。在变体中,C-fix 的性能优于 C-lower 和 C-upper,因为它使用统一的裕量寻求鲁棒性和唯一性之间的平衡。相比之下,C-lower 和 C-upper 在所有指纹上施加单一约束,而不验证是否同时满足两个约束。因此,许多不可行的 τ 被保留,降低了整体判别能力。然而,C-fix 缺乏使其裕量适应单个样本局部决策几何的灵活性。另一方面,AnaFP、A-lower 和 A-upper 丢弃不可行的 τ,从而保持较高的验证可靠性。虽然 A-lower 和 A-upper 由于所选可行 τ 对参数估计误差的容忍度较低而表现出略微降低的性能,但它们仍然优于 C-fix、C-lower 和 C-upper。这些结果强调了选择位于可容许区间内的 τ 的重要性。
6 结论
我们研究了为基于对抗样本的模型指纹识别构建有效指纹的问题,通过确保同时满足鲁棒性和唯一性约束。为此,我们提出了 AnaFP,一个分析性的指纹识别方案,它数学形式化了这两个约束,并从理论上推导出一个可容许区间,该区间由指纹构造中使用的拉伸因子的鲁棒性和唯一性约束的下界和上界定义。为了实现实际的指纹生成,AnaFP 使用两个有限的替代模型池来近似原始模型集,并采用基于分位数的松弛策略来放宽推导出的界限。特别是,由于下界和拉伸因子之间的循环依赖,利用网格搜索策略来确定最可行的拉伸因子。跨不同 DNN 架构和数据集的广泛实验表明,AnaFP 实现了有效且可靠的所有权验证,即使在各种模型修改攻击下也是如此,并且始终优于先前的基于对抗样本的指纹识别方法。
