用于所有权保护的深度神经网络指纹识别：一种分析方法

大家读完觉得有帮助记得关注和点赞摘要基于对抗样本的指纹识别方法利用深度神经网络的决策边界特性来构造指纹已被证明对保护模型所有权有效。然而一个根本性挑战仍未解决指纹应放置在离决策边界多远的位置才能同时满足有效和可靠所有权保护所需的两个基本属性——鲁棒性和唯一性。尽管指纹到边界的距离至关重要现有工作没有提供理论解而是依赖经验启发式来确定它这可能导致违反鲁棒性或唯一性属性。我们提出了AnaFP一种在理论指导下构造指纹的分析性指纹识别方案。具体来说我们将指纹生成任务表述为通过一个可调的拉伸因子来控制指纹到边界的距离。为了确保鲁棒性和唯一性我们数学形式化了这些属性确定了拉伸因子的下界和上界。这些界限共同定义了一个可容许区间拉伸因子必须位于该区间内从而在两个约束条件与指纹到边界的距离之间建立了理论联系。为了实现实际的指纹生成我们使用两个有限的替代模型池来近似原始模型集并采用基于分位数的松弛策略来放宽推导出的界限。特别是由于下界和拉伸因子之间的循环依赖我们在可容许区间上应用网格搜索策略来确定最可行的拉伸因子。广泛的实验结果表明AnaFP在不同模型架构和模型修改攻击下始终优于先前的方法实现了有效且可靠的所有权验证。1 引言深度神经网络在实际部署中日益容易受到模型盗版的影响。攻击者可能窃取模型应用保持性能的模型修改攻击以逃避检测并将这些盗版模型作为黑盒服务分发从而通过公开使用获利同时隐藏模型的内部细节。这种新兴威胁引发了对DNN模型知识产权保护的严重担忧。到目前为止广泛的研究已经探索了所有权保护技术如数字水印和指纹识别。虽然水印涉及将可识别模式嵌入DNN模型中——这可能会引入新的安全漏洞但指纹识别提供了一种非侵入式的替代方案利用模型的内在特性生成独特的、可验证的指纹。这种非侵入式的特性使指纹识别成为一种越来越有吸引力的所有权保护方法。迄今为止已经提出了广泛的模型指纹识别方案。这些方案涉及两个阶段指纹生成和所有权验证。在指纹生成阶段利用受保护DNN模型的固有特性精心构造能够引发模型特定响应的指纹。在随后的所有权验证阶段这些指纹用于评估可疑模型是否是受保护模型的盗版版本。目标是可靠地识别源自受保护模型的盗版模型同时避免错误地将独立训练的模型归因于受保护模型。为确保这一点有效的指纹必须表现出两个基本属性1鲁棒性——能够承受保持性能的模型修改2唯一性——能够区分受保护模型与其他独立训练的模型。现有模型指纹识别方案中一个突出的工作分支建立在一个关键观察之上即使是在相同数据集上训练的模型其决策边界也具有高度的模型特异性。这激发了基于对抗样本的指纹识别方法利用模型的独特决策边界特性来构造指纹。更具体地说通过对输入样本施加最小扰动将其推过受保护模型的决策边界从而构造指纹类似于对抗样本生成。由于决策边界的内在差异这种扰动通常会在受保护模型中引起预测变化但对独立训练的模型影响不大。由此产生的预测不对称性使得能够为所有权验证构建独特且可靠的指纹。然而基于对抗样本的指纹识别中一个根本性挑战是指纹应放置在离决策边界多远的位置才能同时满足鲁棒性和唯一性的要求确保唯一性需要将指纹放置在靠近决策边界的位置而增强鲁棒性则需要将指纹放置在远离边界的位置。最近的工作采用了启发式策略来凭经验选择指纹到边界的距离。然而这种方法缺乏理论指导可能导致指纹违反所需的两个属性。因此如何从理论上确定同时满足唯一性和鲁棒性要求的指纹到边界的距离仍然是一个悬而未决的问题。在本文中我们提出了AnaFP一种在理论指导下构造指纹的分析性对抗样本指纹识别方案。具体来说我们首先从用于训练受保护模型的数据集中识别高置信度样本作为指纹生成的锚点。对于每个锚点我们计算一个最小扰动该扰动会导致受保护模型中的预测发生变化从而确保强的唯一性。为了进一步提高鲁棒性我们引入了一个拉伸因子来缩放扰动从而控制指纹到决策边界的距离。为了确保鲁棒性和唯一性我们数学形式化了鲁棒性和唯一性约束并据此从理论上推导出拉伸因子的下界和上界。这些界限定义了一个可容许区间拉伸因子必须位于该区间内从而在两个约束条件与指纹到边界的距离之间建立了理论联系。虽然这种理论关系提供了强有力的理论保证但其实际实施带来了几个挑战。首先计算界限需要对所有可能的盗版模型和独立训练模型进行最坏情况参数估计——这是两个理论上无限的集合。因此我们使用两个替代模型池来近似这两个集合。其次使用最坏情况估计通常会导致过于保守的界限从而降低指纹构建的可行性。为了缓解这个问题我们采用了一种基于分位数的松弛机制通过基于分位数的参数估计来放宽两个界限。第三下界和拉伸因子之间存在循环依赖。我们通过在可容许区间上应用网格搜索策略来解决这个问题以确定拉伸因子的最可行值。我们进行了大量跨不同模型架构和数据集的实验实验结果表明即使在保持性能的模型修改攻击下AnaFP也能始终实现卓越的所有权验证性能优于现有的基于对抗样本的指纹识别方法。2 背景2.1 对抗样本对抗样本是从干净数据集的样本中精心构造的以诱导目标模型做出错误的预测。给定一个模型 f 和一个干净数据集 D 中的输入标签对 (x, y)可以通过求解以下问题来获得一个对抗样本 x̂ x δmin ‖x - x̂‖, s.t. f(x̂) ≠ y, (1)其中 ‖·‖ 表示距离度量扰动 δ 被约束以确保不可感知性。通过以最小扰动诱导错误分类对抗样本揭示了模型决策边界的独特特征。这一特性使它们对于构建捕获用于所有权验证的模型特定行为的指纹特别有效。2.2 模型修改攻击为了规避所有权验证攻击者通常会发起保持性能的模型修改攻击这些攻击会改变盗版模型的决策边界同时保持预测准确性。常见的技术包括微调、剪枝、知识蒸馏和对抗训练。具体来说微调通过额外的模型训练调整盗版模型的权重剪枝移除盗版模型中较不重要的权重或神经元以重塑其结构知识蒸馏训练一个具有不同结构和参数的新模型来复制盗版模型的行为对抗训练使用干净数据和对抗样本的混合来更新模型权重从而对基于对抗样本的指纹识别方法构成独特威胁。更糟糕的是攻击者可能会结合多种技术例如剪枝后进行微调以引起决策边界的显著偏移从而增加指纹失效的可能性。3 问题形式化图1说明一个典型的模型指纹识别场景。我们考虑一个典型的简化模型指纹识别场景涉及两方模型所有者和攻击者如图1所示。具体来说模型所有者训练一个DNN模型 P 并将其作为服务部署。攻击者获取 P 的未经授权副本对其应用保持性能的模型修改然后以黑盒方式重新分发盗版模型。令 _P 表示源自 P 的盗版模型集。为了保护 P 的知识产权模型所有者利用对抗样本技术为 P 生成一组指纹 ℱ。一旦识别出可疑模型 S所有者通过使用 ℱ 中的指纹查询 S 来启动所有权验证。目标是确定 S 是属于盗版模型集 _P 还是独立模型集 ℐ_P后者包括在未访问 P 的情况下从头开始独立训练的模型。为了实现可靠的验证指纹集 ℱ { (x_i^, y_i^) | 1 ≤ i ≤ N_f }其中 N_f 是指纹数量x_i^* ∈ ∈ ℝ^{d₁×…×dₙ} 是指纹 i 的输入y_i^* ∈ {1,…,K} 是相应的目标标签其构造目标是满足以下属性鲁棒性任何指纹 (x_i^, y_i^) ∈ ℱ 在保持性能的修改攻击下仍然有效即对于 ∀ P ∈ _PP(x_i^) y_i^。唯一性任何指纹 (x_i^, y_i^) ∈ ℱ 不太可能被任何独立训练的模型正确预测即对于 ∀ I ∈ ℐ_PI(x_i^) ≠ y_i^。4 AnaFP 的设计图2说明指纹生成和所有权验证的流程。我们提出了AnaFP一个分析性的指纹识别方案它数学形式化了鲁棒性和唯一性属性构建满足这些约束的松弛版本的实际指纹并利用这些指纹进行所有权验证。如图2所示AnaFP包括两个阶段指纹生成和所有权验证。具体来说指纹生成阶段由四个主要步骤组成。第一步从干净数据集中选择高置信度样本作为锚点确保独立训练的模型以高概率预测其原始标签。第二步为每个锚点计算一个最小扰动使得受保护模型在评估扰动后的锚点时输出与原始锚点不同的标签。第三步为每个锚点计算一个拉伸因子。为此首先通过数学形式化鲁棒性和唯一性约束然后基于替代参数估计和基于分位数的松弛来放宽形式化的约束从而推导出拉伸因子的可容许区间。利用这个区间通过网格搜索策略确定一个可行的拉伸因子。第四步首先将扰动乘以获得的拉伸因子然后将其应用于相应的锚点来生成指纹。所有生成的指纹构成最终指纹集将用于所有权验证。下面我们详细说明指纹生成的四个步骤和所有权验证协议。4.1 第一步选择高置信度锚点在第一步中我们从用于训练受保护模型的训练数据集中识别高置信度样本。这些输入-标签对称为锚点是基于模型正确预测其标签的置信度来选择的。为了量化置信度我们定义样本 (x, y) ∈ D 相对于受保护模型 P 的逻辑值裕量为 g_P(x) s_{P,y}(x) - max_{k≠y} s_{P,k}(x)其中 s_{P,k}(x) 是 P 为输入 x 输出的类别 k 的逻辑值。我们通过选择逻辑值裕量超过预定义阈值 m_anchor 的样本来构建锚点集 即 { (x_a, y) ∈ D | g_P(x_a) ≥ m_anchor }。直观地说高裕量样本表现出类别区分特征这些特征在独立训练的模型中能够被可靠地捕获。因此使用这些样本作为锚点有助于增强生成指纹的唯一性。4.2 第二步计算最小决策改变扰动在第二步中我们为每个锚点计算一个最小扰动并应用它来生成一个使受保护模型改变其预测的扰动锚点。给定一个锚点 (x_a, y)我们将决策改变扰动最小化问题表述为δ* argmin_δ ‖δ‖₂, s.t. P(x_a δ) ≠ y, (2)其中 δ* 是锚点 (x_a, y) ∈ 的最小扰动‖·‖₂ 是 ℓ₂ 范数。为了求解该问题我们采用 Carlini Wagner ℓ₂ 攻击来高效计算 δ。得到的扰动输入是 q x_a δ我们称之为边界点因为它位于受保护模型的决策边界上。这是离锚点 (x_a, y) 最近的点在该点受保护模型 P 将其预测改变为不同的标签。4.3 第三步在理论约束下搜索拉伸因子由于边界点直接位于决策边界上它们极易受到模型修改引起的边界偏移的影响常常导致模型预测发生变化。为了提高鲁棒性我们沿着扰动方向拉伸 δ并将其应用于锚点以生成位于离边界更远位置的指纹。具体来说给定一个锚点 (x_a, y)相应的指纹定义为 (x x_a τ δ, y P(x*))其中 τ 1 是一个拉伸因子控制指纹到决策边界的距离。一个核心挑战在于选择合适的拉伸因子 τ因为生成的指纹需要同时满足鲁棒性和唯一性属性。为了数学形式化这些要求我们首先定义相对于 τ 的下界 τ_lower 和上界 τ_upper分别对应于鲁棒性和唯一性约束鲁棒性约束要求 τ τ_lower而唯一性约束要求 τ τ_upper。然后我们推导出一个理论约束定义拉伸因子 τ 的可容许区间1 (2 ϵ_logit) / (c_g ‖δ*‖) τ_lower τ τ_upper m_min / (2 L_uniq ‖δ*‖), (3)其中 c_g ‖∇g_P(q)‖₂ 是逻辑值裕量函数 g_P 在边界点 q x_a δ* 处的梯度范数m_min、L_uniq 和 ϵ_logit 定义如下m_min独立训练模型在锚点 (x_a, y) 处的逻辑值裕量的下界对于 ∀ k ∈ , ∀ I ∈ ℐ_Ps_{I,y}(x_a) - max_{k≠y} s_{I,k}(x_a) ≥ m_min。L_uniq独立训练模型在 x_a 和 x* 之间区域中的局部 Lipschitz 常数的上界使得对于 ∀ I ∈ ℐ_P‖s_I(x) - s_I(x_a)‖₂ / ‖x- x_a‖₂ ≤ L_uniqs_I(·) 是独立训练模型 I 的逻辑值向量。ϵ_logit由于对受保护模型 P 施加保持性能的模型修改攻击在 x* 处逻辑值偏移的上界对于 ∀ k ∈ , ∀ P ∈ _P|s_{P,k}(x) - s_{P,k}(x)| ≤ ϵ_logit。等式(3)的详细推导见附录A。4.3.1 参数估计与松弛基于替代的估计。m_min、L_uniq 和 ϵ_logit 是在 _P 和 ℐ_P 上定义的然而这些集合分别包含无限多个模型。因此直接计算它们是不可能的。为了解决这个问题一种常见的方法是引入两个有限的替代模型池来近似原始集合一个替代盗版池 _P^s 和一个替代独立池 ℐ_P^s。_P^s 包含受保护模型 P 及其盗版变体而 ℐ_P^s 由独立训练的模型组成。然后每个参数在相应的替代池上进行估计m_min 估计为 ℐ_P^s 上的最小裕量L_uniq 估计为 ℐ_P^s 上的最大局部 Lipschitz 常数ϵ_logit 估计为 _P^s 上的最大逻辑值偏移。虽然这些有限的替代池作为无限集 ℐ_P 和 _P 的实际近似但这种替代不可避免地放松了原始的理论约束并引入了近似误差。尽管这种误差在理论上难以处理并且取决于替代模型的选择但第5.2.1节的实验结果表明AnaFP 对池大小和多样性变化具有鲁棒性始终产生稳定的验证性能。基于分位数的松弛。直接采用最保守的估计即 m_min 的最小值和 L_uniq、ϵ_logit 的最大值可能会导致 τ 的下界和上界过于严格可能导致没有指纹能同时满足鲁棒性和唯一性的约束。为了解决这个问题我们采用了一种基于分位数的松弛策略。我们不是使用极值而是根据其在替代池上的经验分位数分布来估计每个参数m_min 设置为 ℐ_P^s 上计算的逻辑值裕量的 q_margin 分位数L_uniq 设置为 ℐ_P^s 上局部 Lipschitz 常数的 q_lip 分位数ϵ_logit 设置为 _P^s 上测量的逻辑值偏移的 q_eps 分位数。通过这种方式我们放宽了 τ 的下界和上界在理论严谨性和实际可行性之间取得平衡。4.3.2 寻找可行 τ 的网格搜索策略根据等式(3)拉伸因子 τ 受到下界 τ_lower 和上界 τ_upper 的约束。虽然 τ_upper 可以使用估计的参数显式计算但 τ_lower 被隐式定义为 τ 的函数——因为它取决于点 x* x_a τ δ* 处的逻辑值偏移。这种循环依赖给直接求解 τ_lower 带来了不小的挑战。因此有必要寻找一个可行的 τ 值使其满足约束 τ_lower(τ) ≤ τ ≤ τ_upper并同时在生成的指纹中实现唯一性和鲁棒性之间的平衡。为了解决这个问题我们利用网格搜索策略来确定可行的 τ。具体来说鉴于 τ_lower 1 (2ϵ_logit)/(c_g‖δ*‖) ≥ 1我们将搜索区间定义为 (1, τ_upper]。我们首先通过在该区间内均匀采样拉伸因子来构建一个候选集 。对于每个 τ ∈ 我们计算 τ_lower(τ) 并保留那些满足 τ ≥ τ_lower(τ) 的候选以形成可行集 _feas。如果在搜索区间内不存在有效的 τ即 _feas ∅则丢弃相应的锚点因为它无法在松弛约束下产生有效指纹。这种不可行性可能出现在两种情况(i) τ_upper 1导致区间无效或 (ii) τ_upper ≥ 1但没有候选 τ 满足 τ τ_lower(τ)。最后从可行集 _feas 中我们通过 τ* argmax_{τ∈_feas} min{τ - τ_lower(τ), τ_upper - τ} 选择最可行的拉伸因子 τ*。此选择最大化了两个边界的余量从而为参数估计误差提供了最大的容忍度。4.4 第四步构建指纹集为每个保留的锚点 x_i^a 确定最可行的拉伸因子 τ_i* 后我们继续生成相应的指纹。具体来说我们将最小决策改变扰动 δ_i* 乘以 τ_i将其应用于锚点 x_i^a然后记录受保护模型 P 分配的结果标签。最终指纹集 ℱ 构建为ℱ { (x_i^, y_i^) | (x_i^, y_i^) (x_i^a τ_iδ_i^, P(x_i^a τ_iδ_i^*)) }_{i1}^{N_f}。通过使用多个指纹我们提出的方案减轻了第三步中参数估计和松弛期间引入的近似误差对单个指纹验证性能的潜在影响从而增强了所有权验证的整体可靠性。4.5 验证协议给定一个可疑模型 S模型所有者使用 ℱ { (x_i^, y_i^) }{i1}^{N_f} 中的指纹查询 S 来验证所有权。具体来说对于一个指纹 (x_i^, y_i^) ∈ ℱ模型所有者使用 x_i^* 查询 S并将返回的标签 S(x_i^) 与 y_i^进行比较。如果 S(x_i^) y_i^模型所有者将其计为一次匹配。在查询所有指纹后模型所有者计算匹配率 α_S (1/N_f) Σ{i1}^{N_f} [ S(x_i^) y_i^]其中 [·] 是指示函数。如果 α_S ≥ θ其中 θ ∈ [0,1] 是决策阈值则可疑模型 S 被分类为盗版否则被视为独立模型。5 实验我们进行了大量实验以评估AnaFP在三种代表性类型的深度神经网络上的有效性在CIFAR-10数据集和CIFAR-100数据集上训练的卷积神经网络模型、在MNIST数据集上训练的多层感知机模型以及在PROTEINS数据集上训练的图神经网络模型。模型构建。对于每个任务我们指定一个受保护模型并构建两个替代模型集以及两个测试模型集受保护模型CNN、MLP 和 GNN 的受保护模型架构分别是 ResNet-18、ResMLP 和 GAT。替代模型集对于每个任务我们构建一个包含六个模型的盗版模型池这些模型通过对受保护模型进行两种模拟的保持性能修改获得微调和知识蒸馏以及一个包含六个独立训练模型的独立模型池这些模型使用两种不同的架构和随机种子从头开始训练。测试模型集对于每个任务我们通过修改攻击构建一个盗版模型集包括剪枝、微调、知识蒸馏、对抗训练、N-finetune向权重注入噪声后进行微调和 P-finetune剪枝后进行微调。每种类型的模型修改使用不同的随机种子产生20个变体在此集中产生120个盗版模型。此外我们构建了一个独立模型集独立训练的模型使用不同的架构和种子从头开始训练未访问受保护模型及其变体。该集包含120个独立训练的模型。这两个测试集构成了用于测试AnaFP是否能够有效区分盗版模型和独立训练模型的评估基准。用于性能测试的测试模型在指纹生成过程中都是未见/未知的并且与替代池中的模型没有重叠。基线。我们将 AnaFP 与六种代表性的模型指纹识别方法进行比较UAP它生成通用对抗扰动作为指纹IPGuard它探测边界附近的样本以捕获模型特定行为MarginFinger它控制指纹与决策边界之间的距离以获得鲁棒性AKH一种最近提出的指纹识别方法使用受保护模型的误分类样本作为指纹GMFIP一种最近提出的非对抗样本指纹识别方法训练生成器来合成指纹样本以及 ADV-TRA一种指纹识别方法构造跨越多个边界的对抗轨迹。评估指标。我们采用接收者操作特征曲线下面积作为主要指标。AUC 衡量随机选择的盗版模型与随机选择的独立训练模型相比其指纹匹配率更高的概率从而量化指纹在所有可能决策阈值下的判别能力。AUC 值越高表示判别能力越强AUC 为 1.0 表示能够完美区分盗版模型和独立训练模型。表 1不同方法在 DNN 模型和数据集上取得的 AUC。方法CNN (CIFAR-10)CNN (CIFAR-100)MLP (MNIST)GNN (PROTEINS)AnaFP (ours)0.957 ± 0.0020.893 ± 0.0050.963 ± 0.0020.926 ± 0.005UAP0.850 ± 0.0100.806 ± 0.0210.906 ± 0.004–IPGuard0.715 ± 0.0750.725 ± 0.0900.873 ± 0.0180.636 ± 0.067MarginFinger0.671 ± 0.0640.630 ± 0.0720.653 ± 0.051–AKH0.723 ± 0.0160.802 ± 0.0190.851 ± 0.0130.854 ± 0.021ADV-TRA0.878 ± 0.0120.850 ± 0.0240.887 ± 0.005–GMFIP0.814 ± 0.0470.781 ± 0.0750.892 ± 0.023–5.1 我们设计的有效性AnaFP 的判别能力。为了评估 AnaFP 的判别能力我们在不同类型的 DNN 模型上进行了实验。注意UAP 和 MarginFinger 未在 GNN 上评估因为它们是针对具有欧几里得结构的数据设计的无法泛化到图结构数据。图3所有实验独立运行五次以计算运行间的均值和标准差。实验结果总结在表 1 中。具体来说我们观察到 AnaFP 在所有评估设置中始终达到最高的 AUC而基线在不同模型和数据集上表现出显著的变化。这一观察强调了 AnaFP 在区分盗版模型和独立训练模型方面的优越性展示了其在所有权验证方面的有效性。为了进一步说明 AnaFP 的判别能力我们在一个代表性案例在 CIFAR-10 上训练的 CNN 模型中展示了 ROC 曲线和指纹匹配率分布。ROC 曲线绘制了不同验证阈值下的真阳性率与假阳性率的关系提供了指纹判别能力的全面视图。曲线越接近左上角表明盗版模型和独立训练模型之间的可分离性越强。如图 3(a) 所示AnaFP 实现了最有利的 ROC 曲线接近左上角而基线方法的曲线相对更靠近对角线表明判别能力较弱。这一结果进一步证实了 AnaFP 在区分盗版和独立训练模型方面的卓越性能。另一方面图 3(b) 通过箱线图展示了两种模型集的指纹匹配率分布。匹配率反映了模型返回预期标签的指纹比例。盗版模型和独立训练模型的分布之间分离程度越大表明判别能力越高。如图所示AnaFP 呈现出明显分离的分布从而实现可靠的验证结果。相比之下基线显示出重叠的分布表明其验证决策存在模糊性。表 2在各种保持性能的模型修改下的 AUC。方法剪枝微调KDATN-finetuneP-finetunePrune-KDAnaFP (ours)1.000 ± 0.0000.979 ± 0.0080.756 ± 0.0230.983 ± 0.0150.978 ± 0.0100.989 ± 0.0070.689 ± 0.031UAP1.000 ± 0.0000.868 ± 0.0230.679 ± 0.0130.783 ± 0.0410.870 ± 0.0210.876 ± 0.0220.625 ± 0.026IPGuard0.999 ± 0.0020.741 ± 0.1130.559 ± 0.1050.616 ± 0.0260.679 ± 0.1040.671 ± 0.1060.596 ± 0.079MarginFinger1.000 ± 0.0000.658 ± 0.1190.554 ± 0.0830.672 ± 0.0870.586 ± 0.0640.638 ± 0.1150.543 ± 0.088AKH0.999 ± 0.0010.848 ± 0.0160.616 ± 0.0540.627 ± 0.1220.716 ± 0.0390.701 ± 0.0520.636 ± 0.047ADV-TRA1.000 ± 0.0000.923 ± 0.0100.660 ± 0.0250.742 ± 0.0360.895 ± 0.0320.857 ± 0.0130.633 ± 0.035GMFIP0.999 ± 0.0010.779 ± 0.0540.591 ± 0.0350.711 ± 0.0840.858 ± 0.0310.819 ± 0.0610.601 ± 0.068对保持性能的模型修改攻击的鲁棒性。我们使用七种代表性攻击评估 AnaFP 对保持性能的模型修改的鲁棒性剪枝、微调、知识蒸馏、对抗训练和三种复合攻击。表 2 显示了在 CNN 模型下每种攻击下 AnaFP 和六种基线获得的 AUC。在剪枝攻击下所有方法都实现了近乎完美的性能。然而AnaFP 在其余攻击下始终优于基线包括微调、KD、AT、N-finetune、P-finetune 和 Prune-KD。值得注意的是AnaFP 在微调、AT、N-finetune 和 P-finetune 上分别实现了 0.979、0.983、0.978 和 0.989 的平均 AUC显示出对这些攻击的强大抵抗力。尽管 KD 和 Prune-KD 通过在不保留内部结构和权重的情况下蒸馏知识带来了独特的挑战但 AnaFP 仍保持了领先的 AUC 0.756 和 0.689超过了所有基线。这些结果共同证明了 AnaFP 对各种模型修改攻击的鲁棒性。5.2 对设计选择的敏感性5.2.1 替代模型池的影响为了评估 AnaFP 在不同替代池配置下的鲁棒性我们考察了两个关键因素池大小和池多样性。对池大小的敏感性。我们通过改变每个池中的模型数量考虑包含 2、4、6、8 和 10 个模型的配置来研究替代池大小对验证性能的影响。如图 4 中的折线图所示一旦池大小超过 6 个模型AUC 迅速稳定。这一发现表明AnaFP 仅使用适度的替代模型数量就能实现稳定可靠的验证性能表明对池大小具有鲁棒性。对池多样性的敏感性。我们进一步分析替代集多样性对验证性能的影响通过构建具有不同模型多样性水平的池。在低多样性设置中盗版模型池仅由受保护模型的微调变体组成独立模型池包含与受保护模型共享相同架构的独立训练模型。中多样性设置将盗版池的多样性扩展到包括微调和知识蒸馏模型而独立池包含具有两种不同架构的模型。图4说明折线图上轴替代池大小的影响条形图下轴替代池多样性的影响。在高多样性设置中我们进一步将噪声微调的盗版变体纳入盗版池并将具有三种不同架构的独立训练模型纳入独立池。如图 4 中的条形图所示增加多样性通常会提高 AUC。然而从中等到高多样性带来的性能提升是微乎其微的表明收益递减。重要的是即使在低多样性设置下AnaFP 也保持了 0.912 的强大 AUC表明其对替代池多样性的变化具有鲁棒性。总之这些结果表明 AnaFP 对替代池的具体配置不敏感。使用适度的替代模型数量且无需广泛的多样性即可实现可靠的所有权验证这突显了 AnaFP 的实用性和泛化性。5.2.2 分位数阈值的影响为了评估分位数阈值如何影响验证性能我们对 q_margin 和 q_lip 进行了敏感性研究同时将 q_eps 固定为 1.0因为发现其影响在实践中可以忽略不计。结果总结在表 3 中。过于严格的阈值导致没有有效指纹使得所有权验证不可能实现。即使使用稍微放宽的阈值有效指纹的数量仍然很少导致 AUC 较低。随着阈值的适度放宽有效指纹的数量增加验证性能迅速稳定。值得注意的是从某个配置开始所有后续阈值对产生的 AUC 值都超过 0.950这表明一旦建立了足够大且可靠的指纹集验证性能对进一步的阈值变化就变得鲁棒。然而过度放松会引入大量低质量指纹最终削弱判别能力。总体而言这些发现表明 AnaFP 的验证性能对分位数阈值的精确选择不高度敏感。只要阈值适度放宽无需大量调整即可获得高质量的指纹池。表 3分位数阈值的影响。q_margin / q_lip0.1/0.90.2/0.80.3/0.70.4/0.60.5/0.50.6/0.40.7/0.30.8/0.20.9/0.1有效指纹数001133561032284281158AUC––0.8480.9060.9570.9590.9510.9380.8965.3 拉伸因子 τ 的消融研究图5说明AnaFP 和三个变体取得的 AUC。为了评估拉伸因子 τ 对验证性能的影响我们使用 AnaFP 的五个变体进行了消融研究A-lower、A-upper、C-fix、C-lower 和 C-upper。图 5 显示了 AnaFP 及其变体取得的 AUC 值。具体来说AnaFP 始终优于所有五个变体验证了在其可容许区间内搜索可行 τ 的重要性。在变体中C-fix 的性能优于 C-lower 和 C-upper因为它使用统一的裕量寻求鲁棒性和唯一性之间的平衡。相比之下C-lower 和 C-upper 在所有指纹上施加单一约束而不验证是否同时满足两个约束。因此许多不可行的 τ 被保留降低了整体判别能力。然而C-fix 缺乏使其裕量适应单个样本局部决策几何的灵活性。另一方面AnaFP、A-lower 和 A-upper 丢弃不可行的 τ从而保持较高的验证可靠性。虽然 A-lower 和 A-upper 由于所选可行 τ 对参数估计误差的容忍度较低而表现出略微降低的性能但它们仍然优于 C-fix、C-lower 和 C-upper。这些结果强调了选择位于可容许区间内的 τ 的重要性。6 结论我们研究了为基于对抗样本的模型指纹识别构建有效指纹的问题通过确保同时满足鲁棒性和唯一性约束。为此我们提出了 AnaFP一个分析性的指纹识别方案它数学形式化了这两个约束并从理论上推导出一个可容许区间该区间由指纹构造中使用的拉伸因子的鲁棒性和唯一性约束的下界和上界定义。为了实现实际的指纹生成AnaFP 使用两个有限的替代模型池来近似原始模型集并采用基于分位数的松弛策略来放宽推导出的界限。特别是由于下界和拉伸因子之间的循环依赖利用网格搜索策略来确定最可行的拉伸因子。跨不同 DNN 架构和数据集的广泛实验表明AnaFP 实现了有效且可靠的所有权验证即使在各种模型修改攻击下也是如此并且始终优于先前的基于对抗样本的指纹识别方法。