ActiveDaemon: 基于用户特定不可见令牌的深度神经网络休眠与唤醒机制 / ActiveDaemon: Unconscious DNN Dormancy and Waking Up via User-specific Invisible Token

作者/Authors

Ge Ren¹, Gaolei Li¹², Shenghong Li¹³, Libo Chen¹⁴, Kui Ren²

¹上海交通大学 / ¹Shanghai Jiao Tong University

²浙江大学 / ²Zhejiang University

摘要 / Abstract

研究背景：训练有素的深度神经网络（DNN）模型具有商业价值，需防止非法复制。现有水印方法仅能在侵权发生后被动验证所有权，无法阻止未授权查询。

解决方案：提出 ActiveDaemon，通过数据投毒技术为DNN嵌入主动访问控制机制，仅授权用户（携带动态不可见令牌）可激活高精度预测，未授权用户预测准确率显著降低。

核心贡献：

• 提出首个内置访问控制的主动IP保护范式；

• 设计基于U-Net的编码器-解码器生成隐蔽动态令牌；

• 支持大规模用户身份管理（单模型支持$2^{64}$用户）。

实验结果：在CIFAR-10、ImageNet等数据集上，未授权查询准确率下降达81%，授权用户仅损失1.4%精度，令牌隐蔽性（LPIPS）优于现有方法。

方法 / Methodology

技术框架

1. 令牌生成

• 编码器-解码器网络：将用户字符串与输入图像映射为动态不可见噪声（令牌）。

• 隐蔽性优化：结合SSIM和LPIPS损失函数，确保生成噪声与原始图像感知相似。

2. 模型保护训练

• 数据投毒策略：将训练集分为授权样本（添加令牌）和未授权样本（标签篡改）。

• 互信息优化目标：最大化授权样本的预测互信息，最小化未授权样本的互信息。

实验与结果 / Experiments and Results

实验设置

• 数据集：CIFAR-10、CIFAR-100、GTSRB、ImageNet。

• 模型：ResNet-18（CIFAR）、ResNet-50（ImageNet）。

评估指标：

• 可行性（Feasibility）：授权样本准确率下降（$A_{od}$）；

• 有效性（Effectiveness）：未授权样本准确率下降（$A_{pd}$）；

• 隐蔽性（Stealthiness）：PSNR、SSIM、LPIPS；

• 鲁棒性（Robustness）：抗模型微调、剪枝、伪造令牌攻击能力。

关键实验结果

1. 保护效果对比（表1）

| 数据集 | CIFAR-10 | ImageNet |

|----------------|------------------|------------------|

| 基准准确率 | 93.41% | 76.73% |

| $A_{od}$ | -1.05%（授权下降）| -1.34%（授权下降）|

| $A_{pd}$ | 81.06%（未授权下降）| 73.48%（未授权下降）|

2. 隐蔽性指标（表3）

| 数据集 | 方法 | LPIPS ↓ | PSNR ↑ |

|-----------|------------|---------------|-------------|

| CIFAR-10 | ActiveDaemon| 0.0027 | 32.051 |

| | ADIP | 0.0118 | 27.187 |

| ImageNet | ActiveDaemon| 0.0368 | 27.119 |

3. 鲁棒性测试

• 模型剪枝：剪除70%参数后，授权准确率仍保持70%以上（ImageNet）；

• 伪造令牌攻击：令牌像素篡改60%时，准确率降至0.4%（ImageNet）；

• 模型提取攻击：替代模型准确率仅4.19%（ImageNet）。

结论 / Conclusion

ActiveDaemon 通过动态不可见令牌实现了DNN模型的主动知识产权保护，具有以下优势：

1. 高隐蔽性：LPIPS分数低至0.0027（CIFAR-10）；

2. 强鲁棒性：抗模型剪枝、微调、伪造攻击；

3. 大规模用户支持：单模型支持$2^{64}$用户身份管理。

未来方向包括扩展至自然语言处理等其他任务，以及优化计算开销。