本發(fā)明屬于人工智能和信息安全，具體涉及一種模型安全保護(hù)方法及系統(tǒng)。

背景技術(shù)：

1、隨著人工智能的迅速發(fā)展，人工智能技術(shù)的應(yīng)用日益廣泛。ai模型逐漸應(yīng)用到人們生活的方方面面，各類ai模型已經(jīng)部署到各種各樣的終端設(shè)備上，例如手機(jī)、平板、汽車等等。

2、ai模型的部署和使用環(huán)境比較復(fù)雜，如果ai模型被對手竊取，一方面造成使模型被濫用，使模型生產(chǎn)方的知識產(chǎn)權(quán)無法得到保護(hù)；另一方面，敵對方通過對模型的解析，更容易發(fā)動白盒攻擊，會造成較大的經(jīng)濟(jì)損失和社會影響。

3、現(xiàn)有技術(shù)中常常采用傳統(tǒng)的加解密算法對模型進(jìn)行保護(hù)，但是加密模型在使用時的解密時延較大，會影響終端的推理性能和用戶體驗，而且模型在運(yùn)行過程中是明文形式的，仍有可能被對手竊取。此外，還可采用安全多方計算、同態(tài)加密等技術(shù)，使模型在密文形式下進(jìn)行推理，但這類方法的計算開銷或者通信開銷很大，通用性不強(qiáng)。

4、ai模型的應(yīng)用有非常廣闊的前景，如何提升模型使用的安全性和效率，仍是亟待解決的問題。

技術(shù)實現(xiàn)思路

1、本發(fā)明的目的是針對提升ai模型使用的安全性和效率的需求，提供一種模型安全保護(hù)方法及系統(tǒng)。

2、本發(fā)明技術(shù)方案中，將模型進(jìn)行剪枝處理，然后部分補(bǔ)回或全部補(bǔ)回被裁剪的節(jié)點和連接，并將被補(bǔ)回的連接的權(quán)重設(shè)定為預(yù)設(shè)值，使補(bǔ)回后的模型推理精度低于預(yù)設(shè)閾值，變得不可用。使用模型時檢測模型中的預(yù)設(shè)值，并將數(shù)值等于預(yù)設(shè)值的權(quán)重修改為零值，即得到可用的模型。通過對模型中一部分節(jié)點和連接的偽裝，對模型提供保護(hù)。

3、具體的，本發(fā)明第一方面提供了一種模型安全保護(hù)方法，包括：

4、獲取第一模型，經(jīng)過模型剪枝處理得到第二模型；

5、根據(jù)第一模型的計算圖，對第二模型部分補(bǔ)回或全部補(bǔ)回被裁剪的節(jié)點和連接，并將被補(bǔ)回的連接的權(quán)重設(shè)定為預(yù)設(shè)值，得到用于發(fā)布給用戶使用的第三模型；所述第三模型推理精度低于預(yù)設(shè)閾值。

6、基于上述，發(fā)布第三模型對應(yīng)的模型執(zhí)行文件，其中對第三模型中的預(yù)設(shè)值運(yùn)用密碼技術(shù)進(jìn)行保護(hù)。

7、基于上述，所述的將被補(bǔ)回的連接的權(quán)重設(shè)定為預(yù)設(shè)值，包括將補(bǔ)回的連接的權(quán)重設(shè)定為預(yù)設(shè)的一個或者多個數(shù)值，或者具有預(yù)設(shè)特征的數(shù)值。

8、基于上述，所述的對第二模型部分補(bǔ)回或全部補(bǔ)回被裁剪的節(jié)點和連接，包括：設(shè)置模型補(bǔ)回比例系數(shù)k，根據(jù)第一模型和第二模型的計算圖，將第一模型相對于第二模型多出的節(jié)點和連接，按照比例系數(shù)k補(bǔ)回第二模型，其中0<k≤1。

9、基于上述，對第二模型部分補(bǔ)回或全部補(bǔ)回被裁剪的節(jié)點和連接時，通過對被補(bǔ)回的節(jié)點和連接的選擇，以及對被補(bǔ)回的連接設(shè)定的權(quán)重預(yù)設(shè)值的選擇，使第三模型的推理精度低于預(yù)設(shè)閾值。

10、本發(fā)明第二方面提供了一種模型使用方法，在使用依據(jù)所述的模型安全保護(hù)方法所獲得的第三模型時，檢測第三模型中的預(yù)設(shè)值，并將數(shù)值等于預(yù)設(shè)值的權(quán)重修改為零值。

11、本發(fā)明第三方面提供了一種模型安全保護(hù)系統(tǒng)，包括模型保護(hù)單元；模型保護(hù)單元包括模型獲取模塊、模型剪枝模塊、模型補(bǔ)回模塊；

12、所述模型獲取模塊，用于獲取第一模型；

13、所述模型剪枝模塊，用于對第一模型進(jìn)行模型剪枝處理，得到第二模型；

14、所述模型補(bǔ)回模塊，用于根據(jù)第一模型的計算圖，對第二模型部分補(bǔ)回或全部補(bǔ)回被裁剪的節(jié)點和連接，并將被補(bǔ)回的連接的權(quán)重設(shè)定為預(yù)設(shè)值，得到第三模型；所述第三模型推理精度低于預(yù)設(shè)閾值。

15、本發(fā)明第四方面提供了一種模型使用系統(tǒng)，包括模型使用單元，模型使用單元預(yù)置所述的模型安全保護(hù)系統(tǒng)輸出的第三模型，并在使用第三模型時，檢測第三模型中的預(yù)設(shè)值，并將數(shù)值等于預(yù)設(shè)值的權(quán)重修改為零值。

16、本發(fā)明第五方面提供了一種計算機(jī)設(shè)備，包括存儲器和處理器，所述存儲器存儲有計算機(jī)程序，所述處理器執(zhí)行所述計算機(jī)程序時，實現(xiàn)如所述的模型安全保護(hù)方法的步驟；和/或?qū)崿F(xiàn)如所述的模型使用方法的步驟。

17、本發(fā)明第六方面提供了一種計算機(jī)程序產(chǎn)品，所述計算機(jī)程序產(chǎn)品存儲有指令，所述指令在由計算機(jī)執(zhí)行時使得所述計算機(jī)實施如所述的模型安全保護(hù)方法的步驟；和/或如所述的模型使用方法的步驟。

18、本發(fā)明相對現(xiàn)有技術(shù)具有實質(zhì)性特點和進(jìn)步，具體地說：

19、1．本發(fā)明技術(shù)方案可以有效地保護(hù)ai模型。對手竊取到被該技術(shù)方案保護(hù)的模型之后，使用模型進(jìn)行推理并不能得到準(zhǔn)確可靠的結(jié)果，也很難得到原模型的真實結(jié)構(gòu)信息和權(quán)重信息，從而避免模型被濫用和被使用白盒攻擊手段進(jìn)行攻擊，大大提高模型安全性。

20、2．本發(fā)明技術(shù)方案在使用模型時需要檢測模型中的預(yù)設(shè)值，并將數(shù)值等于預(yù)設(shè)值的權(quán)重修改為零值，帶來的推理時延很小，步驟也非常簡單，和其它模型保護(hù)方法相比，效率很高。

21、3．本發(fā)明技術(shù)方案僅需要對模型執(zhí)行文件，或者模型中的預(yù)設(shè)值進(jìn)行安全保護(hù)，當(dāng)使用密碼技術(shù)保證其安全時，計算開銷和通信開銷都很小。

22、4．本發(fā)明技術(shù)方案中偽裝后的模型和普通模型或者經(jīng)典模型沒什么區(qū)別，模型的偽裝不易被發(fā)現(xiàn)，有很好的隱蔽性，從另一角度提升了模型的安全性。

技術(shù)特征：

1.一種模型安全保護(hù)方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的模型安全保護(hù)方法，其特征在于：發(fā)布第三模型對應(yīng)的模型執(zhí)行文件，其中對第三模型中的預(yù)設(shè)值運(yùn)用密碼技術(shù)進(jìn)行保護(hù)。

3.根據(jù)權(quán)利要求1所述的模型安全保護(hù)方法，其特征在于：所述的將被補(bǔ)回的連接的權(quán)重設(shè)定為預(yù)設(shè)值，包括將補(bǔ)回的連接的權(quán)重設(shè)定為預(yù)設(shè)的一個或者多個數(shù)值，或者具有預(yù)設(shè)特征的數(shù)值。

4.根據(jù)權(quán)利要求1所述的模型安全保護(hù)方法，其特征在于：所述的對第二模型部分補(bǔ)回或全部補(bǔ)回被裁剪的節(jié)點和連接，包括：設(shè)置模型補(bǔ)回比例系數(shù)k，根據(jù)第一模型和第二模型的計算圖，將第一模型相對于第二模型多出的節(jié)點和連接，按照比例系數(shù)k補(bǔ)回第二模型，其中0<k≤1。

5.根據(jù)權(quán)利要求1所述的模型安全保護(hù)方法，其特征在于：對第二模型部分補(bǔ)回或全部補(bǔ)回被裁剪的節(jié)點和連接時，通過對被補(bǔ)回的節(jié)點和連接的選擇，以及對被補(bǔ)回的連接設(shè)定的權(quán)重預(yù)設(shè)值的選擇，使第三模型的推理精度低于預(yù)設(shè)閾值。

6.一種模型使用方法，其特征在于，在使用依據(jù)權(quán)利要求1-5任一項所述的模型安全保護(hù)方法所獲得的第三模型時，檢測第三模型中的預(yù)設(shè)值，并將數(shù)值等于預(yù)設(shè)值的權(quán)重修改為零值。

7.一種模型安全保護(hù)系統(tǒng)，其特征在于：包括模型保護(hù)單元；模型保護(hù)單元包括模型獲取模塊、模型剪枝模塊、模型補(bǔ)回模塊；

8.一種模型使用系統(tǒng)，其特征在于，包括模型使用單元，模型使用單元預(yù)置權(quán)利要求7所述的模型安全保護(hù)系統(tǒng)輸出的第三模型，并在使用第三模型時，檢測第三模型中的預(yù)設(shè)值，并將數(shù)值等于預(yù)設(shè)值的權(quán)重修改為零值。

9.一種計算機(jī)設(shè)備，包括存儲器和處理器，所述存儲器存儲有計算機(jī)程序，其特征在于，所述處理器執(zhí)行所述計算機(jī)程序時，實現(xiàn)如權(quán)利要求1至5中任一項所述的模型安全保護(hù)方法的步驟；和/或?qū)崿F(xiàn)如權(quán)利要求6所述的模型使用方法的步驟。

10.一種計算機(jī)程序產(chǎn)品，其特征在于，所述計算機(jī)程序產(chǎn)品存儲有指令，所述指令在由計算機(jī)執(zhí)行時使得所述計算機(jī)實施如權(quán)利要求1至5中任一項所述的模型安全保護(hù)方法的步驟；和/或如權(quán)利要求6所述的模型使用方法的步驟。

技術(shù)總結(jié)
本發(fā)明涉及一種模型安全保護(hù)方法及系統(tǒng)。本發(fā)明將模型進(jìn)行剪枝處理，然后部分補(bǔ)回或全部補(bǔ)回被裁剪的節(jié)點和連接，并將被補(bǔ)回的連接的權(quán)重設(shè)定為預(yù)設(shè)值；使用模型時檢測模型中的預(yù)設(shè)值，并將數(shù)值等于預(yù)設(shè)值的權(quán)重修改為零值。本發(fā)明技術(shù)方案通過對模型中一部分節(jié)點和連接的偽裝，對模型提供保護(hù)，一方面可以有效地保護(hù)AI模型，避免模型被濫用和被使用白盒攻擊手段進(jìn)行攻擊,而且模型的偽裝不易被發(fā)現(xiàn)，具有很好的隱蔽性；另一方面，本技術(shù)方案帶來的模型推理時延很小，簡單高效。

技術(shù)研發(fā)人員：何駿,丁琦,張魯國
受保護(hù)的技術(shù)使用者：鄭州信大捷安信息技術(shù)股份有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/30