编者按:世界上没有两枚完全一样的指纹,因此指纹可以成为刑事案件侦查中的重要依据。然而,你可曾想过人工智能也可以具有“指纹”么?就在最近,电子科技大学网络空间安全研究院2017级博士研究生徐国文就把这个设想变为了现实。他在深度学习模型中嵌入“密码指纹”,为追踪贩卖盗版人工智能模型的行为提供了可能。徐国文的论文“Deep Learning Framework Supporting Model Ownership Protection and Traitor Tracing”(《深度学习框架下的版权保护和叛逃者追踪》)也在第26届国际并行和分布式系统会议(The 26th IEEE International Conference on Parallel and Distributed Systems,ICPADS 2020)上获得了“最佳论文奖”,这是我校首次在该会议获奖。
今天,小电就和大家一起来了解这位给人工智能
装上“指纹”的科研达人~徐国文是同学们眼中的“科研大佬”“拿奖狂人”。在五年的研究生生涯中,徐国文发表了近30篇学术论文,连续三年获得研究生国家奖学金,累计获得各类奖学金20万元。“我觉得自己还远远谈不上成功,我唯一突出的地方就是兴趣和执着。”回头来路,徐国文道出了他在科研道路上乘风破浪的“秘籍”。
寻找被盗模型,密码“指纹”显神通
如今,人工智能已经浸入到了我们生活的方方面面,可以帮助我们做很多事情,如图像识别、语音转写、安防监控等等。要想让人工智能变得像人类一样聪明,需要不断地“学习训练”,这样的学习“材料”就是数据集。研究者们通过收集和标注大量的数据,编写人工智能的“学习材料”,训练好人工智能的模型。最后,模型的所有者提供了查询的接口,使人们仅需付出少量的费用,就能享受到人工智能提供的特定服务,方便了我们的生活。但是,这样公开的查询,也给了一些不法之徒可乘之机,虽然不能直接接触到模型,但是他们绞劲脑汁,设计样本对原始模型进行查询,用最少的查询次数来获得大量的模型信息,并炮制出“伪造”的模型从中获利。这样的行为不尊重模型所有者的劳动成果,并且严重损害了原创者的利益。如何追踪这样的叛逃者呢?徐国文提出了一种新方法:将要购买模型服务的买家信息,通过密码学中的“编码”技术,在模型训练的时候嵌入到模型中去。和人类的独一无二的“指纹”一样,徐国文提出的方法,能给每个买家量身定做一个“密码指纹”,并把这串“二进制”的指纹嵌入到模型的部分参数中。当发生模型的盗版情况,通过提取出模型的“密码指纹”就能找到叛逃者是谁。可能有人会想,既然“指纹”只在模型的少量参数中,那么通过和其他买家串通,各自去掉这些带有“指纹”的参数,并把模型拼接在一起,是不是就能获得没有“指纹”的模型呢?“这种情况是不可能出现的,”徐国文笑着说,“如果他们相互串通,我们会从模型的数学分布中观察到一些独有的特征,反而能找到所有参与的买家。这就是我的方法在分布式环境中也能发挥出作用的原因。”密码“指纹”是否可以消除掉呢?“不会。”徐国文介绍说,这是深度学习模型与别的模型的不同之处。模型通过不断的、反复的学习训练过程的巩固,早已将“指纹”深刻地记忆在了整个模型中。除非将模型内部参数大幅度改变,否则密码“指纹”是没法被擦除的。即使真的有人抹除了“指纹”,但在那种情况下,模型基本就损坏了,不再具有使用的价值。徐国文介绍道,自己提出的版权保护的方法有很多应用。除了在商业中对盗版的追踪之外,还可以对云盘中的数据进行加密保护等。除此之外,他在数据挖掘的安全、存储安全和加密、人工智能模型的使用和训练的过程隐私保护等方向也有深入的研究。“我们做的是基础工作,在大数据时代,安全是一切的前提。”徐国文说。
成长是个逐渐变“小”的过程
从2015年考入电子科大硕博连读算起,这已经是徐国文在网络空间安全领域进行科研探索的第五年了。他本科专业是数学,这为后来密码学的研究打下了坚实的基础,读研之后徐国文跟随导师李洪伟教授走上了信息安全的道路。“当时我对信息安全这个领域一点概念都没有,只想着攒足劲儿,考上研究生就行。后来我才逐渐认识到了这个领域对国家安全的重要战略意义和广阔的发展前景,就更加坚定了在网络空间安全领域深耕的决心。”徐国文说道。在李洪伟教授的指导和帮助下,徐国文在研一研二期间就发表了七篇论文,这让他产生了轻微的自负情绪。然而兵法有云,骄兵必败,徐国文意识到如果自己要在学术道路上再进一步,去国外开阔一下眼界十分必要。他争取到了国家留学基金委的支持,前往新加坡管理大学交流,这段经历让他的心态发生了巨大的转变。“去了新加坡之后才发现人外有人天外有天,”徐国文回忆道,“我发现自己有的东西别人都有,而且他们每个人都有自己的特长,处在这样的环境中就觉得自己很普通。”徐国文认为,这种心理落差反而成为了他成长的动力。“这样的环境让我产生了很大的紧迫感,促使我不断的学习。”徐国文说,在新加坡的时候,最敬佩的人是他的外导Robert Deng教授。“老师是位华人,是搞密码学研究的,也做一些图像方面的研究。《深度学习框架下的版权保护和叛逃者追踪》这篇论文的写作灵感就是偶然看到了Robert Deng教授图像方面的研究材料而诞生的。”“写这篇论文的时候,正值新冠肺炎疫情全球暴发,当时我人在新加坡,那时学校也提供了很多的支持与帮助。”徐国文说,“学校联系了大使馆,给我们这些身在国外的学生提供了手套、口罩等等。导师也非常关心我,有学校和团队作为我坚强的后盾,我就只管专心做科研了。”