图像处理网络中的模型水印

论文信息：Jie Zhang、Han Fang、Weiming Zhang、Wenbo Zhou、Hao Cui、Hao Cui、Nenghai Yu：Model Watermarking for Image Processing Networks

·本文首次提出了图像处理网络中深度水印问题，将知识产权问题引入图像处理模型

·提出了第一个深度水印框架，利用空间不可见水印机制来保护图像处理网络

·设计了一种深度水印算法，相比传统的不可见空间水印算法有更高的鲁棒性和嵌入容量

·提出的水印框架在面对不同的网络结构和损失函数训练的代理模型攻击时都有不错的抵御效果

----------

引言

随着深度学习技术的飞速发展，其在图像处理领域的应用越来越广泛。然而，高昂的训练成本使得深度学习模型具有显著的商业价值，这同时也带来了模型窃取的风险。为了保护模型的知识产权，模型水印技术应运而生。本文将介绍一种针对图像处理网络的深度模型水印技术，该技术能够有效抵御模型窃取攻击，保护模型的商业价值。

深度学习模型的商业价值与窃取攻击

深度学习模型因其训练成本高而具有显著商业价值。随着计算资源和大数据的发展，模型窃取攻击成为了一个严重的问题。攻击者通过微调、剪枝或利用API访问获取输入输出对来训练新的相似代理模型，从而避开昂贵的模型训练并从中获益。

模型水印：保护知识产权的新途径

模型水印技术借鉴了传统多媒体中的水印嵌入方式，将水印添加到深度学习模型中，以达到版权保护的效果。本文首次考虑了图像处理深度模型的水印问题，并着重关注了如何抵御黑盒攻击。

理论预分析与深度不可见水印算法

在理论预分析中，我们探讨了如何通过模型水印框架在域A和域B之间实现视觉上一致的图像转换。传统的不可见水印算法在嵌入容量和鲁棒性方面存在局限，而深度不可见水印算法通过辨别器和对抗训练阶段，实现了高容量和高鲁棒性的水印嵌入。

辨别器与过拟合现象

辨别器在水印嵌入过程中起到了关键作用，它用于区分图像是“真实的”还是“伪造的”，即判断嵌入水印后的图像是否与原始图像在视觉上保持一致。此外，为了避免过拟合现象，我们提出了将不含有水印的域A和域B的图像输入到提取子网络R中，并强制R输出一个恒定的空白图像，以提升提取子网络R的提取水印能力。

在训练初始阶段，若提取器网络R只使用域B’进行训练，容易出现过拟合的情况，即无论输入的图像是否包含水印，都会从中提取出水印。解决方法：

a.将不含有水印的域A和域B的图像输入到提取子网络R中，并强制R输出一个恒定的空白图像，这样能够提升提取子网络R的提取水印能力。

b.通过混合数据集（包括原始输入输出图像、带有水印的图像以及代理网络生成的图像）来训练提取子网络 R，使得它不仅能从带水印的图像中提取水印，还能从代理网络生成的图像中提取水印，提升其鲁棒性。

损失函数与实验结果

本文详细介绍了嵌入损失和提取损失的计算方法，包括水印重建损失、一致性损失和干净损失。实验部分，我们选择了去雨丝和去肋骨两种图像处理任务，使用PSNR、SSIM和归一化相关(NC)度量来评估视觉质量和水印提取的成功率。实验结果表明，所提出的深度不可见水印算法在面对不同的网络结构和损失函数训练的代理模型攻击时都有不错的抵御效果。

本文方法的目标损失函数由两部分组成，分别是嵌入损失 和提取损失，公式如下：