[发明专利]一种基于后门攻击的数据集保护和验证方法

说明书

本发明属于互联网技术领域，具体涉及一种基于后门攻击的数据集保护和验证方法，包括下列步骤：根据实际需求设置水印γ的比例；根据γ划分原始数据集为良性样本数据集D_benign和攻击样本数据集D_attack；划分后所得的攻击样本数据集D_attack添加水印，得到处理后的攻击样本数据集D_modified；将处理后的攻击样本数据集D_modified与良性样本数据集D_benign混合，得到水印数据集D_watermarked。本发明使用在部分样本上添加触发器的方式设置攻击样本，这使得在水印数据集上用标准的训练过程训练模型时，能在保持对良性样本的预测精度的同时指定隐藏的后门。本发明用于数据集的保护。

技术领域

本发明属于互联网技术领域，具体涉及一种基于后门攻击的数据集保护和验证方法。

背景技术

近年来，深度神经网络在各个领域都取得了较为广泛的应用。其中数据集，特别是高质量的开源数据集是深度神经网络繁荣的关键因素。这些开源数据集让研究人员可以很容易地验证他们的算法或模型的有效性，而这一过程反过来又加速了深度学习的发展。数据集的收集耗费了大量资源，其价值不言而喻，所以现有的开源数据集基本都要求它们只能用于学术或教育目的，而不能用于商业目的。基于此背景，已经有人提出了一些数据集保护技术，如匿名化、加密和水印方法进行数据集保护，它们的目的是防止未经授权的用户访问数据集。

然而，以上所提到的数据集保护方法却并不适合保护开源数据集。因为许多开源数据集对每个人都是开放访问的，唯一的要求是它们只能用于学术或教育目的。因此，保护开源数据集的主要问题是验证它是否被用于训练第三方模型。

发明内容

针对上述数据集保护方法不适合保护开源数据集的技术问题，本发明提供了一种效率高、可靠性强、实用性广的基于后门攻击的数据集保护方法。

为了解决上述技术问题，本发明采用的技术方案为：

一种基于后门攻击的数据集保护和验证方法，包括下列步骤：

S1、根据实际需求设置水印γ的比例；

所述γ越小，则代表包含水印的数据所占比重越小，水印设置的越隐蔽，所述D_attack为攻击样本数据集，所述D_train为原始数据集；

S2、根据S1所得的γ划分原始数据集为良性样本数据集D_benign和攻击样本数据集D_attack；

所述x_i为输入数据，y_i为输出标签，且x_i∈{0,…,255}^C×W×H，y_i＝{1,…,K}；

S3、为S2中划分后所得的攻击样本数据集D_attack添加水印，得到处理后的攻击样本数据集D_modified；

S4、将处理后的攻击样本数据集D_modified与良性样本数据集D_benign混合，得到水印数据集D_watermarked

所述D_watermarked＝D_benign∪D_modified。

所述S3中攻击样本数据集D_attack添加水印的方法为：

S3.1、设置y_t＝{1,…,K}和t∈{0,…,255}^C×W×H分别为目标标签和指定的触发器；