随着深度神经网络(DNN)的快速发展,机器学习服务(MLaaS)等有潜力的商业模式迅速崛起,AI产业化进入发展快车道。然而,保护训练好的DNN模型免于被非法复制,重新分发或滥用(即知识产权侵权)是AI产业化进程中必须要面临和解决的问题。尤其是当下各国企业在深度学习模型和平台方面进行巨额研发投入,对知识产权的保护刻不容缓。没有保护的神经网络,如同不上锁的车子,谁都可以开走;一旦网络被非法拷贝及使用,原主人无法证明和维护其发明的合法知识产权。这样企业的创新动力会受到伤害,进而给整个产业的发展前景蒙上阴影。
在近日公布的2019年神经信息处理系统大会(Conference and Workshop on Neural Information Processing Systems,NeurIPS)论文入选完整名单中,微众银行AI首席科学家范力欣博士与马来亚大学的陈志胜副教授和吴锦合作的论文《对深度神经网络所有权验证的重新思考:嵌入数字护照以抵御模糊攻击》 创造性地提出了利用“数字护照”保护深度神经网络知识产权的新方法。NeurIPS是全球最受瞩目的AI、机器学习顶级学术会议之一,官方数据显示,大会今年共计收到6743篇论文投稿,创下新纪录,其中共有1428篇论文接收入选,入选率仅为21.1%
据范力欣博士介绍,传统用于保护神经网络所有权的水印方法存在缺陷:在训练过程当中,嵌入数字水印的神经网络,如同贴了主人姓名标签的车子,但别人还是可以把车开走,甚至可以贴上伪造的标签。这种情况下,被拷贝网络可以被检测出多个真假难辨的数字水印,其知识产权归属莫衷一是。
数字护照,神经网络防盗新技术
能否通过新的机制杜绝这种情况?论文提出了在训练过程当中,嵌入了数字护照的神经网络,如同加了锁的车子,必须使用与神经网络配套的数字护照,才能解锁来正常使用网络;实验证实一旦使用了经过修改或伪造的护照,网络性能会严重退化,以致无法使用。使用数字护照的另一个优点是,即使剽窃者进一步盗取并运用了原来的数字护照,来解锁正常使用网络,原主人也可以凭借数字护照上的个人签名ID,来举证其知识产权的归属。
在上述原理的基础上,研究者们还设计了黑盒,白盒和混合保护机制,来针对不同的应用场景,提供了一系列完善的知识产权保护方法。
新方法使得DNN模型的性能依赖于护照的真实性,对于去除攻击具有鲁棒性,能够抵御模糊攻击,并保证了原主人对神经网络所有权的可证明性。而使用了不同的护照而使网络性能有不同表现的这种思维也是非常新颖的,并通过了大量的实验验证,具有可操作性。
(论文全文链接:arxiv.org/abs/1909.07…
论文源代码:github.com/kamwoh/Deep…)
有效机制,创建AI创新良性生态
基于数字护照保护机制,剽窃者将处于两难境地:一方面,如使用伪造数字护照, 则网络性能大幅下降几乎无用。而且伪造护照需要从新训练网络,耗时耗电,经济上无利可图。另一方面,如非法使用原数字护照,则面临原主人的法律诉讼及追责索赔。
当今巨头公司和创业公司几乎每秒都在投资数十亿美元来探索新的DNN模型,论文中提出的数字护照在保护保护知识产权,不被滥用,防伪,防止被竞争对手利用方面有着重要作用。AI创新,只有在保护企业或发明人的切实权益下才能正常前进,才能打造真正良性的创新环境。
NeurIPS 2019大会联邦学习研讨会
据范力欣博士介绍,微众银行AI团队将在今年的NeurIPS 2019大会上和Google等知名企业、高校联合举办联邦学习研讨会(workshop),这也是首次在NeurIPS上举办联邦学习研讨会,目前已收到数十篇论文投稿。随着加入联邦学习生态的企业和研究机构越来越多元化,在金融、医疗、零售等多场景落地场景越来越多,联邦学习的相关研究也跨越到新阶段,此次研讨会必定会带来更多令人惊喜的新思考与探索。
