【五期邹昱夫】CCF-A(IEEE T-PAMI'22)Fedipr: Ownership verification for federated deep neural network models
本文设计了FedIPR的通用框架,用于在安全的联邦学习环境中验证DNN模型的所有权。FedIPR的设计方式是,每个客户都可以嵌入自己的基于隐私特征和基于后门的水印,并验证水印以独立声明所有权。以防模型被非法复制、重新分发或滥用。Li, Bowen, et al. "Fedipr: Ownership verification for federated deep neural network models." IEEE Transactions on Pattern Analysis and Machine Intelligence (2022).
黑盒与白盒两阶段验证联邦学习模型所属权:
一、黑盒阶段,不需要访问模型参数和内部结构,只需输入特定样本进入模型API, 根据模型输出判定模型所属权,为模型所属权提供初步依据。
二、白盒验证阶段,执法机关根据上一阶段,打开模型参数和结构,验证模型参数中是否嵌入有实现给定的能证明所属权的“水印”。
解决了模型所有权验证的两个挑战:
一、多水印冲突问题。FedIPR提出用秘密提取矩阵的方式,在卷积层用归一化层权重Wγ嵌入以白盒方式提取的水印。
二、性能问题。FedIPR采用客户端嵌入的方式在差分隐私、鲁棒聚合、模型剪枝、微调等多种设定下进行了实验。证明其在主任务可用性,水印显著性以及稳健性方面的性能
本文优点:将传统的模型水印实践到联邦学习框架上,并通过大量实验验证其性能。
本文缺点:只与FedAvg对比实验测试了保真度,不知道在不同的深度神经网络下效果如何。
2023年1月13日
