Filigrane Haché comme Filtre : Contrer les Attaques de Contrefaçon et de Réécriture dans le Marquage de Réseaux Neuronaux Basé sur les Poids
Hashed Watermark as a Filter: Defeating Forging and Overwriting Attacks in Weight-based Neural Network Watermarking
July 15, 2025
papers.authors: Yuan Yao, Jin Song, Jian Jin
cs.AI
papers.abstract
En tant qu'actifs numériques précieux, les réseaux de neurones profonds nécessitent une protection robuste de la propriété, positionnant le tatouage de réseaux de neurones (Neural Network Watermarking, NNW) comme une solution prometteuse. Parmi les diverses approches de NNW, les méthodes basées sur les poids sont privilégiées pour leur simplicité et leur praticité ; cependant, elles restent vulnérables aux attaques de falsification et de réécriture. Pour relever ces défis, nous proposons NeuralMark, une méthode robuste construite autour d'un filtre de tatouage haché. Plus précisément, nous utilisons une fonction de hachage pour générer un tatouage binaire irréversible à partir d'une clé secrète, qui est ensuite utilisé comme filtre pour sélectionner les paramètres du modèle à intégrer. Cette conception entrelace habilement les paramètres d'intégration avec le tatouage haché, offrant une défense robuste contre les attaques de falsification et de réécriture. Un pooling moyen est également incorporé pour résister aux attaques de réglage fin et d'élagage. De plus, il peut être intégré de manière transparente dans diverses architectures de réseaux de neurones, garantissant une applicabilité étendue. Théoriquement, nous analysons sa limite de sécurité. Empiriquement, nous vérifions son efficacité et sa robustesse sur 13 architectures distinctes de Convolutions et de Transformers, couvrant cinq tâches de classification d'images et une tâche de génération de texte. Les codes sources sont disponibles à l'adresse https://github.com/AIResearch-Group/NeuralMark.
English
As valuable digital assets, deep neural networks necessitate robust ownership
protection, positioning neural network watermarking (NNW) as a promising
solution. Among various NNW approaches, weight-based methods are favored for
their simplicity and practicality; however, they remain vulnerable to forging
and overwriting attacks. To address those challenges, we propose NeuralMark, a
robust method built around a hashed watermark filter. Specifically, we utilize
a hash function to generate an irreversible binary watermark from a secret key,
which is then used as a filter to select the model parameters for embedding.
This design cleverly intertwines the embedding parameters with the hashed
watermark, providing a robust defense against both forging and overwriting
attacks. An average pooling is also incorporated to resist fine-tuning and
pruning attacks. Furthermore, it can be seamlessly integrated into various
neural network architectures, ensuring broad applicability. Theoretically, we
analyze its security boundary. Empirically, we verify its effectiveness and
robustness across 13 distinct Convolutional and Transformer architectures,
covering five image classification tasks and one text generation task. The
source codes are available at https://github.com/AIResearch-Group/NeuralMark.