哈希水印作为过滤器：击败基于权重的神经网络水印中的伪造和覆盖攻击

作为有价值的数字资产，深度神经网络需要强大的所有权保护，因此神经网络水印（NNW）成为一种有前途的解决方案。在各种NNW方法中，基于权重的方法因其简单性和实用性而备受青睐；然而，它们仍然容易受到伪造和覆盖攻击。为了解决这些挑战，我们提出了一种基于哈希水印过滤器的鲁棒方法NeuralMark。具体来说，我们利用哈希函数从秘密密钥生成一个不可逆的二进制水印，然后将其用作过滤器来选择要嵌入的模型参数。这种设计巧妙地将嵌入参数与哈希水印交织在一起，为抵御伪造和覆盖攻击提供了强大的防御。同时，还引入了平均池化以抵抗微调和剪枝攻击。此外，它可以无缝集成到各种神经网络架构中，确保了广泛的适用性。理论上，我们分析了其安全边界。经验上，我们在13种不同的卷积和Transformer架构上验证了其有效性和鲁棒性，涵盖了五种图像分类任务和一种文本生成任务。源代码可在https://github.com/AIResearch-Group/NeuralMark获取。