arXiv:2505.04977v1 宣告类型: cross 摘要: 随着深度神经网络(DNN)模型的广泛部署，动态水印技术被用来保护模型所有者的知识产权。然而，最近的研究表明，现有的水印方案容易受到水印去除和含糊性攻击。此外，判断水印存在的模糊标准进一步增加了此类攻击的可能性。在本文中，我们提出了一种名为ChainMarks的安全DNN水印方案，通过引入加密链到触发输入中生成安全且稳健的水印，并利用两阶段蒙特卡洛方法来确定水印的存在。首先，ChainMarks通过反复应用哈希函数生成秘密密钥作为水印数据集，目标标签则来自于模型所有者的数字签名。然后，通过在原始数据集和水印数据集上训练DNN来生成带有水印的模型。为了验证水印，我们通过比较触发输入的预测标签与目标标签，并利用更精确的决策阈值来考虑特定模型的分类概率来确定所有权。实验结果表明，ChainMarks相较于现有的水印方案在稳健性和安全性方面表现得更好。通过提供更好的边际效用，ChainMarks在相同水印准确度的条件下为DNN模型提供了更高的水印存在概率的保证。