白盒水印：直接访问模型权重的水印方案

什么是白盒水印

白盒水印是一种面向深度学习模型的数字水印技术，其核心假设是验证者可以完全访问模型的内部权重参数。与黑盒水印仅通过模型输入输出接口检测水印不同，白盒水印将水印信息直接编码进模型的权重张量中，在需要验证版权时直接从权重文件或内存中的参数提取水印。这种直接访问权重的设定常用于模型发布后遭遇内部泄露、未经授权分发或模型窃取的场景，版权方可在获得可疑模型完整副本的情况下，通过解析权重证明所有权。

白盒水印的典型流程包括三个阶段：

1. 嵌入：在模型训练或微调过程中，将特定的统计特征、参数模式或正则项约束融入目标层的权重。
2. 分发：将含有水印的模型部署或发布给授权用户。
3. 提取与验证：当怀疑某个模型侵权时，获取其权重，利用预设的提取算法恢复水印信息，并与原始嵌入信息进行比对。

由于白盒水印可以直接操作高维参数空间，通常能实现大容量、高鲁棒性的信息隐藏，同时对模型原始任务性能的影响可控。

白盒水印的核心原理

权重正则化嵌入法

最经典的方式是在训练损失函数中加入与水印相关的正则项，引导模型权重学习到某种可检测的模式。设原始任务损失为 $L_{task}$，水印正则项为 $L_{wm}$，则联合损失为：

$$ L = L_{task} + \lambda L_{wm} $$

$L_{wm}$ 可以设计为让特定层的权重满足某种统计分布，或使权重与给定的水印矩阵具有高相关性。例如，通过约束权重矩阵的符号模式、均值、方差或与密钥生成的随机投影结果，形成隐蔽签名。

直接参数编码法

另一种思路是在不影响主要功能的前提下，直接修改部分权重的最低有效位（LSB）或添加稀疏扰动，将比特串形式的水印嵌入。这类方法借鉴了经典图像水印的思路，但需要配合权重剪枝感知或误差补偿，避免模型精度显著下降。

基于触发器集的白盒扩展

部分白盒方案会结合一小部分“触发器样本”来强化水印的唯一性。训练时在这些样本上强制模型输出特定的错误标签（或预设响应），同时在权重空间中留下对应的特征模式。白盒验证时除了检查权重统计，还可以配合这些后门行为进行双重确认。

典型白盒水印方案详解

Uchida 等人方法（Embedding Watermarks into Deep Neural Networks）

这是白盒水印的开创性工作之一。其思想如下：

• 嵌入对象：选定卷积层的权重 $W$，将其展平为一维向量。
• 水印生成：使用私密密钥生成一个随机矩阵（投影矩阵）$X$，水印信息为一个 $T$ 维比特向量 $b \in {0,1}^T$。
• 嵌入公式：在训练时，对扁平化后的权重 $w$ 添加正则项，迫使 $Xw$ 逼近 $b$ 的双极性映射（例如 $+1$ 代表比特 1，$-1$ 代表比特 0）。正则项常用形式为： $$ L_{wm} = | \sigma(Xw) - (2b-1) |_2^2 $$ 其中 $\sigma$ 为 sigmoid 函数。
• 提取过程：获取嫌疑模型的权重向量 $w'$，计算 $Xw'$ 并通过阈值判断得到提取比特。若与原始 $b$ 的误码率低于设定阈值，则判定存在水印。

这种方法嵌入容量大（可达 256 比特甚至更高），且对权重剪枝、微调、参数扰动具有一定鲁棒性。

基于权重系数量化的Rouhani等人方案（DeepSigns）

DeepSigns 在白盒场景下通过将选定权重的概率密度函数（PDF）划分为若干区间，嵌入多比特信息。例如，对于某一层的权重分布，在训练时强制让某些区间的权重密度偏离自然分布，形成可检测的“签名柱”。验证时只需拟合权重的直方图并比对即可，无需存储原始投影矩阵，在内存和时间成本上更优。

对抗性白盒水印

新近研究引入对抗样本的概念，在嵌入时模拟未来可能遇到的剪枝、量化等攻击手段，以对抗训练的方式增强水印的鲁棒性。同时还有利用生成对抗网络（GAN）设计权重模式的方案，使其水印模式更隐蔽，更难以被恶意检测或移除。

白盒水印的实践入门示例

以下示例演示如何利用 PyTorch 对一个简单 CNN 的白盒水印嵌入。我们采用简化的投影正则方法。

1. 准备模型与数据
假设有一个用于 MNIST 分类的浅层网络，目标卷积层为 conv1。

2. 水印密钥生成

import torch
import torch.nn as nn
import numpy as np

# 密钥：伪随机生成投影矩阵 X
embed_dim = 128          # 水印比特数
weight_shape = (16, 1, 5, 5)  # conv1 权重形状
flat_len = np.prod(weight_shape)
key_seed = 2024
torch.manual_seed(key_seed)
X = torch.randn(embed_dim, flat_len)  # 投影矩阵
# 原始水印比特（例如版权信息的哈希）
wm_bits = torch.randint(0, 2, (embed_dim,)).float()

3. 定义损失函数

def wm_loss(weight, X, target_bits):
    # 将权重展平
    w_flat = weight.view(-1)
    # 投影
    proj = X @ w_flat
    # 使用 tanh 缩放到 [-1, 1]
    proj_scaled = torch.tanh(proj)
    # 目标双极性 ±0.8 是为防止饱和
    target = 2 * target_bits - 1
    return nn.MSELoss()(proj_scaled, 0.8 * target)

4. 训练循环中集成

lambda_wm = 1.0
optimizer = torch.optim.SGD(model.parameters(), lr=0.01)
for data, target in train_loader:
    optimizer.zero_grad()
    output = model(data)
    task_loss = nn.CrossEntropyLoss()(output, target)
    wm_reg = wm_loss(model.conv1.weight, X, wm_bits)
    loss = task_loss + lambda_wm * wm_reg
    loss.backward()
    optimizer.step()

5. 提取验证

def extract_wm(weight, X):
    w_flat = weight.detach().view(-1)
    proj = X @ w_flat
    return (torch.tanh(proj) > 0).int()  # 大于0视为比特1
extracted_bits = extract_wm(model.conv1.weight, X)
ber = (extracted_bits != wm_bits.int()).float().mean()
print(f'Bit Error Rate: {ber:.4f}')

若 BER 低于 0.1（阈值可调），则可宣告水印存在。

鲁棒性与安全性考量

常见攻击与防御

• 微调攻击：侵权者使用新数据微调模型。白盒水印需保证水印模式在合理微调后仍可检测。通过在嵌入时使用较大的正则项权重或多层嵌入可提高抗微调能力。
• 剪枝与权重量化：去除接近零的权重或降低数值精度会破坏水印。解决策略包括在训练时模拟剪枝（例如添加 L1 稀疏惩罚的同时保持水印比特重要位置的权重值）。
• 重初始化部分层：攻击者可能重置某些层后重新训练。应对方法是将水印分散到多个层，增加完全移除的难度。
• 水印覆写：攻击者试图嵌入自己的水印覆盖原水印。理想的白盒水印应具备不可转移性，即原始密钥生成的检测统计量仍显著，而新水印无法消除原始特征。

虚警与检测阈值

白盒检测通常基于相关性或误码率统计。需要根据随机模型（无水印）的经验分布设定阈值，将虚警概率控制在极低水平（如 $10^{-6}$）。使用密钥空间和长比特水印可以增大随机碰撞的难度。

隐私与法规

白盒验证须取得完整模型权重，可能涉及第三方隐私。实际部署中可通过可信执行环境（TEE）或安全多方计算（MPC）实现权重不离开版权方控制下的验证过程。

白盒水印与黑盒水印的对比

两者并非互斥，许多实际系统采用混合方案：日常监控使用黑盒水印快速筛查，法律诉讼时再用白盒水印提供不可抵赖的证据。

实施建议与最佳实践

1. 选择嵌入层：优先选取参数数量大、对模型输出敏感度高的中间层，例如深层卷积层或全连接层，避免输入/输出层因易受攻击而被孤立。
2. 水印信息设计：嵌入有意义的信息（如版权声明、分发编号的哈希），而不仅是随机比特，便于法庭上解读。
3. 多层冗余：在多个层中重复嵌入相同水印或采用纠错编码，即使部分层受损仍可恢复。
4. 精度与鲁棒性权衡：通过交叉验证调整正则项系数 $\lambda$，确保模型在原始任务上性能下降在可接受范围（通常小于 1%）。
5. 保持密钥机密：投影矩阵 $X$ 和嵌入的比特串必须作为秘密妥善保管，必要时使用硬件安全模块（HSM）存储。
6. 配合其他技术：与模型签名、区块链存证结合，形成完整的模型知识产权保护链。

白盒水印为深度学习模型的版权保护提供了强有力的取证工具。随着模型资产价值飙升，掌握白盒水印的原理与实现，对于模型开发者和安全从业者都至关重要。