一种模型的处理方法、装置及设备与流程

1.本文件涉及计算机技术领域，尤其涉及一种模型的处理方法、装置及设备。


背景技术：

2.近年来，人工智能技术在生物医疗、金融风控、自动驾驶、网络安全等许多领域被广泛应用，基于数据驱动的机器学习技术在识别与分类等任务上已经具备稳定且精确的效果，在许多具体任务中，基于机器学习技术的方案不仅能够取得比常用技术方案更好的效果，还可以完成一些常规技术难以完成的任务。训练一个机器学习模型的过程中包含了大量工作，往往需要长期的投入才能得到高效稳定的模型，然而窃取和拷贝他人训练后的模型却十分容易，从而使得各组织或机构对其投入到业务系统中的模型等隐私数据越来越关注，为此，需要提供一种能够更好的对模型进行保护，以防止模型被泄露的技术方案。


技术实现要素：

3.本说明书实施例的目的是提供一种能够更好的对模型进行保护，以防止模型被泄露的技术方案。
4.为了实现上述技术方案，本说明书实施例是这样实现的：本说明书实施例提供的一种模型的处理方法，所述方法包括：基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重。获取所述目标模型对应的目标水印信息，并基于所述目标水印信息和所述第一模型权重，为每个所述第一模型权重生成相应的权重扰动信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值。将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，并使用所述目标模型权重替换所述训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中。
5.本说明书实施例提供的一种模型的处理方法，所述方法包括：获取目标业务部署的目标模型，所述目标模型是基于提示学习的方式进行模型训练后得到。获取所述目标模型中插入的提示信息对应的第一模型权重和与所述第一模型权重相应的权重扰动信息，所述权重扰动信息是基于所述目标模型对应的水印信息和所述第一模型权重，为每个所述第一模型权重生成的信息，所述第一模型权重和所述权重扰动信息是从所述目标模型对应的目标模型权重中获取的信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值。如果基于获取的第一模型权重和与所述第一模型权重相应的权重扰动信息确定的水印信息与所述目标模型对应的目标水印信息相匹配，则确定所述目标模型存在泄露风险。
6.本说明书实施例提供的一种模型的处理装置，所述装置包括：参数获取模块，基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重。扰动确定模块，获取所述目标模型对应的目标水印信息，并基
于所述目标水印信息和所述第一模型权重，为每个所述第一模型权重生成相应的权重扰动信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值。模型部署模块，将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，并使用所述目标模型权重替换所述训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中。
7.本说明书实施例提供的一种模型的处理装置，所述装置包括：模型获取模块，获取目标业务部署的目标模型，所述目标模型是基于提示学习的方式进行模型训练后得到。信息提取模块，获取所述目标模型中插入的提示信息对应的第一模型权重和与所述第一模型权重相应的权重扰动信息，所述权重扰动信息是基于所述目标模型对应的水印信息和所述第一模型权重，为每个所述第一模型权重生成的信息，所述第一模型权重和所述权重扰动信息是从所述目标模型对应的目标模型权重中获取的信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值。风险确定模块，如果基于获取的第一模型权重和与所述第一模型权重相应的权重扰动信息确定的水印信息与所述目标模型对应的目标水印信息相匹配，则确定所述目标模型存在泄露风险。
8.本说明书实施例提供的一种模型的处理设备，所述模型的处理设备包括：处理器；以及被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重。获取所述目标模型对应的目标水印信息，并基于所述目标水印信息和所述第一模型权重，为每个所述第一模型权重生成相应的权重扰动信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值。将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，并使用所述目标模型权重替换所述训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中。
9.本说明书实施例提供的一种模型的处理设备，所述模型的处理设备包括：处理器；以及被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：获取目标业务部署的目标模型，所述目标模型是基于提示学习的方式进行模型训练后得到。获取所述目标模型中插入的提示信息对应的第一模型权重和与所述第一模型权重相应的权重扰动信息，所述权重扰动信息是基于所述目标模型对应的水印信息和所述第一模型权重，为每个所述第一模型权重生成的信息，所述第一模型权重和所述权重扰动信息是从所述目标模型对应的目标模型权重中获取的信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值。如果基于获取的第一模型权重和与所述第一模型权重相应的权重扰动信息确定的水印信息与所述目标模型对应的目标水印信息相匹配，则确定所述目标模型存在泄露风险。
10.本说明书实施例还提供了一种存储介质，所述存储介质用于存储计算机可执行指令，所述可执行指令在被处理器执行时实现以下流程：基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重。获取所述目标模型对应的目标水印信息，并基于所述目标水印信息和所述第一模型权重，为每个所述第一模型权重生成相应的权重扰动信息，其中，生成的权重扰动信息能够对相
应的第一模型权重进行扰动的程度小于预设阈值。将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，并使用所述目标模型权重替换所述训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中。
11.本说明书实施例还提供了一种存储介质，所述存储介质用于存储计算机可执行指令，所述可执行指令在被处理器执行时实现以下流程：获取目标业务部署的目标模型，所述目标模型是基于提示学习的方式进行模型训练后得到。获取所述目标模型中插入的提示信息对应的第一模型权重和与所述第一模型权重相应的权重扰动信息，所述权重扰动信息是基于所述目标模型对应的水印信息和所述第一模型权重，为每个所述第一模型权重生成的信息，所述第一模型权重和所述权重扰动信息是从所述目标模型对应的目标模型权重中获取的信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值。如果基于获取的第一模型权重和与所述第一模型权重相应的权重扰动信息确定的水印信息与所述目标模型对应的目标水印信息相匹配，则确定所述目标模型存在泄露风险。
附图说明
12.为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图；图1为本说明书一种模型的处理方法实施例；图2为本说明书另一种模型的处理方法实施例；图3为本说明书又一种模型的处理方法实施例；图4为本说明书又一种模型的处理方法实施例；图5为本说明书又一种模型的处理方法实施例；图6为本说明书又一种模型的处理方法实施例；图7为本说明书一种模型的处理装置实施例；图8为本说明书另一种模型的处理装置实施例；图9为本说明书一种模型的处理设备实施例。
具体实施方式
13.本说明书实施例提供一种模型的处理方法、装置及设备。
14.为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本说明书保护的范围。
15.实施例一如图1所示，本说明书实施例提供一种模型的处理方法，该方法的执行主体可以为
终端设备或服务器，其中，该终端设备可以如手机、平板电脑等一定终端设备，还可以如笔记本电脑或台式电脑等计算机设备，或者，也可以为iot设备（具体如智能手表、车载设备等）等。该服务器可以是独立的一个服务器，还可以是由多个服务器构成的服务器集群等，该服务器可以是如金融业务或网络购物业务等的后台服务器，也可以是某应用程序的后台服务器等。本实施例中以服务器为例进行详细说明，对于终端设备的执行过程可以参见下述相关内容，在此不再赘述。该方法具体可以包括以下步骤：在步骤s102中，基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重。
16.其中，提示学习的方式可以是prompt learning，prompt learning是一种基于提示信息的训练范式，通过在原数据上拼接一些提示信息进行推理，以此来实现各个下游任务，即提示学习的方式可以是通过引入模版来将原始的输入数据改造成类似于完形填空的格式的数据，从而使得后续的模型去“回答”，进而推断出下游任务的结果，提示学习的方式依赖于预训练语言模型p(x)，通过引入合适的模版template将输入数据x调整为完形填空格式的x’，调整后的输入数据x’里含有某些空槽（缺少内容的位置），利用语言模型p将空槽填充后就可以推断出对应的y。例如，对于情感分析任务，通常，可以训练一个判别模型去预测输入数据x对应的标签是积极或者消极，但是，如果使用提示学习的方式，则需要利用合适模版，将输入数据x调整为[x], 具体如“it is [z].”或“overall, it was a [z] movie.”等，然后，作为模型的输入数据去预测相应z的取值，如果z是与积极相关的词，就表示原始输入数据x是积极的，反之就是消极的，例如，输入数据x是“i love this movie.”，使用的模板是“overall, it was a [z] movie.”，则调整后的输入数据x’为“i love this movie. overall, it was a [z] movie.”。目标模型可以是任意的预训练模型，本实施例中，目标模型可以是用于进行语言处理的模型，具体如bert模型或gpt（generative pre-training，生成式预训练）模型等，具体可以根据实际情况设定，本说明书实施例对此不做限定。提示信息可以是提示学习的方式中选取合适的模板后需要插入的提示信息，如上述的it is [z]等。
[0017]
在实施中，近年来，人工智能技术在生物医疗、金融风控、自动驾驶、网络安全等许多领域被广泛应用，基于数据驱动的机器学习技术在识别与分类等任务上已经具备稳定且精确的效果，在许多具体任务中，基于机器学习技术的方案不仅能够取得比常用技术方案更好的效果，还可以完成一些常规技术难以完成的任务。训练一个机器学习模型的过程中包含了大量工作，往往需要长期的投入才能得到高效稳定的模型，然而窃取和拷贝他人训练后的模型却十分容易，为此，需要提供一种能够更好的对模型进行保护，以防止模型被泄露的技术方案。本说明书实施例提供一种可实现的技术方案，具体可以包括以下内容：由于预训练模型的不断增大，基于完整预训练模型进行下游任务变得越来越困难，因此，提出了基于提示学习的方式对模型进行训练，即prompt learning，提示学习的方式是一种parameter-efficient（参数有效）的学习方式。近年来，soft-prompt learning（即基于连续嵌入的prompt learning方式，与人工构造模版不同，soft-prompt learning通过插入连续的提示信息，并对上述提示信息进行优化，来实现比传统prompt更好的效果）的提出使得prompt learning在一些任务上实现了与fine tuning（即基于预训练模型，在下游任务中使用完整的下游任务数据，通过梯度信息优化完整的模型）相当的效果，甚至在
某些情况下会超越fine tuning的效果。soft-prompt learning通过插入少量可训练的提示信息，在不对预训练模型的模型参数进行变更的前提下，完成对下游任务的训练。然而，soft-prompt learning的连续性，使得其存在大量的冗余空间，因此在soft-prompt learning中嵌入信息进行传输是可行的。
[0018]
为此，可以在模型中植入具有校验模型是否被窃取的可验证信息，本说明书实施例选择向模型参数中加入上述可验证信息，此外，考虑到模型参数（可以包括模型结构和模型权重等）是模型中的重要信息，如果模型参数发生较大变化，则该模型的效果将发生较大变化，因此，本实施例中可以将可验证信息融合到提示信息对应的模型参数中，而不改变模型本身的模型参数，从而减小对模型参数的影响，具体地，可以基于预设的算法构建目标模型的架构（如构建bert模型的架构等），然后，可以获取用于训练目标模型的训练样本，之后，可以基于提示学习（prompt learning）的方式，通过上述训练样本对模型进行训练，具体可以包括三个部分，即提示信息添加prompt addition部分、答案搜索answer search部分和答案映射answer mapping部分，其中，prompt addition部分：选择合适的模版，定义函数fprompt(x)，可以将原始的输入数据x（即训练样本的数据）转化为x’，即fprompt(x)=x’。经过上述函数fprompt(x)转化后得到的输入数据都带有空槽，槽位上的预测值会直接决定最后的结果。另外，此处的模版（提示信息）不仅仅可以是离散化的token，也可以连续的向量等。在不同的下游任务中，可以灵活调整，选择合适的模版。answer search部分：经过上述函数fprompt(x)转化后得到的输入数据x’后，可以将x’输入到目标模型，通过模型预测得到能够使得目标模型得分最高的候选预测值。answer search部分即可以从所有可能的候选预测值中进行搜索，然后选择合适的预测值填充到对应的空槽里。此处的预测值的所有可能结果的集合可以为z，对于生成任务而言，z包括所有的token，对于分类任务而言，z只包含跟特定分类任务相关的部分token。answer mapping部分：当通过answer search得到合适的预测值时，需要根据预测值推断最终的预测结果，例如，对于生成任务，填充的预测值可以作为最终的结果，对于分类任务，可以根据相应的预测值归纳到具体的类中，具体如情感分类中，如果把跟积极相关的预测值都归类到积极一类，把跟消极相关的预测值归类到消极一类中等，具体可以根据实际情况设定。通过上述方式，可以实现基于提示学习的方式对目标模型进行模型训练的过程，最终可以得到训练后的目标模型。此时，训练后的目标模型的模型参数可以包括两个部分，一部分可以是目标模型本身的模型参数（即模型结构和模型权重等），另一部分可以是上述处理中针对需要插入的提示信息确定的模型权重，为了降低对目标模型的效果的影响，可以对第二部分的模型权重进行改造，进而方便对目标模型的泄露进行检测，基于此，可以获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重。
[0019]
需要说明的是，训练后的目标模型中针对需要插入的提示信息确定的第一模型权重可以包括一个，也可以包括多个，需要插入的整个提示信息可以对应一个整体的模型权重，此外，还可以将需要插入的提示信息划分为多个不同的部分，可以基于上述整体的模型权重，分别确定划分的每个部分的模型权重，其中，如果第一模型权重包括一个，则该第一模型权重可以是上述整体的模型权重，也可以是划分的某个部分的模型权重，如果第一模型权重包括多个，则该第一模型权重可以是划分的多个部分的模型权重，具体可以根据实际情况设定。此外，为了防止目标模型被泄露后，其他人对目标模型进行某些修改从而破坏
预先植入的可验证信息，可以将第一模型权重设置为多个，即选取划分的多个部分的模型权重作为第一模型权重。
[0020]
在步骤s104中，获取目标模型对应的目标水印信息，并基于目标水印信息和第一模型权重，为每个第一模型权重生成相应的权重扰动信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值。
[0021]
其中，目标水印信息可以是任意的水印信息，目标水印信息可以由一个或多个字符构成，也可以由图像、音频等构成，具体可以根据实际情况设定，本说明书实施例对此不做限定。预设阈值可以根据实际情况设定，为了减小对第一模型权重的影响，权重扰动信息可以远小于第一模型权重，从而预设阈值可以是一个很小的正数，即可以表示生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度非常小。
[0022]
在实施中，可以预先为目标模型设置相应的水印信息（即目标水印信息），当获取到第一模型权重后，可以获取目标模型对应的目标水印信息，然后，可以为目标水印信息和第一模型权重设置相应的算法，通过该算法可以对目标水印信息和第一模型权重进行相应的计算，得到相应的计算结果，可以将计算得到的计算结果转换为相应的权重扰动信息，通过上述方式，可以为每个第一模型权重生成相应的权重扰动信息。
[0023]
在步骤s106中，将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，并使用目标模型权重替换训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中。
[0024]
在实施中，可以将生成的权重扰动信息插入到第一模型权重的指定位置中，从而实现将生成的权重扰动信息与相应的第一模型权重进行融合处理，最终可以得到融合后的模型权重，可以将融合后的模型权重作为生成的目标模型权重，然后，可以使用目标模型权重替换训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，从而得到一个具有新的针对需要插入的提示信息的模型权重的目标模型，可以将该目标模型作为待部署的目标模型。可以将待部署的目标模型部署于相应的业务中。
[0025]
本说明书实施例提供一种模型的处理方法，通过基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，然后，可以获取目标模型对应的目标水印信息，并基于目标水印信息和第一模型权重，为每个第一模型权重生成相应的权重扰动信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值，将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，并使用目标模型权重替换训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中，以便后续基于获取的目标模型的第一模型权重和与第一模型权重相应的权重扰动信息确定的水印信息是否与目标模型对应的目标水印信息相匹配，来确定目标模型是否存在泄露风险，这样，只修改了基于提示学习的方式中的提示信息对应的参数（即针对需要插入的提示信息确定的第一模型权重），与预训练的目标模型本身无关，不会影响预训练的目标模型的效果，而且上述处理的过程中不添加新的训练数据 ，对目标模型的下游任务影响较小，而且能够通过上述方式，快速有效的确定目标模型是否被泄露，提高模型泄露的检测效率。
[0026]
实施例二
如图2所示，本说明书实施例提供一种模型的处理方法，该方法的执行主体可以为终端设备或服务器，其中，该终端设备可以如手机、平板电脑等一定终端设备，还可以如笔记本电脑或台式电脑等计算机设备，或者，也可以为iot设备（具体如智能手表、车载设备等）等。该服务器可以是独立的一个服务器，还可以是由多个服务器构成的服务器集群等，该服务器可以是如金融业务或网络购物业务等的后台服务器，也可以是某应用程序的后台服务器等。本实施例中以服务器为例进行详细说明，对于终端设备的执行过程可以参见下述相关内容，在此不再赘述。该方法具体可以包括以下步骤：在步骤s202中，基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重。
[0027]
在步骤s204中，获取目标模型对应的目标水印信息，并基于目标水印信息和第一模型权重，以及目标水印信息、第一模型权重及其相应的噪声信息三者需要满足的预设条件，为每个第一模型权重生成相应的噪声信息，将生成的噪声信息作为与每个第一模型权重相应的权重扰动信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值。
[0028]
其中，目标水印信息、第一模型权重及其相应的噪声信息三者需要满足的预设条件可以多种多样，以下提供一种可选的预设条件，具体可以参见下述内容：第一模型权重为pi，第一模型权重相应的噪声信息为zi，目标水印信息为x，其中，pi表示第i个第一模型权重，zi表示第i个第一模型权重对应的噪声信息，则预设条件可以如下公式所示其中，表示对的结果取整。
[0029]
在实施中，可以获取目标模型对应的目标水印信息，然后，可以基于目标水印信息和第一模型权重，以及上述公式对应的预设条件，为每个第一模型权重生成相应的噪声信息，从而使得每个第一模型权重与每个第一模型权重对应的噪声信息通过上述公式左侧的计算，得到的计算结果刚好为目标水印信息。可以将生成的噪声信息作为与每个第一模型权重相应的权重扰动信息。
[0030]
在步骤s206中，对权重扰动信息进行加密处理，得到加密后的权重扰动信息。
[0031]
其中，对权重扰动信息进行加密处理所使用的加密算法可以包括同态加密、部分同态加密等，具体可以根据实际情况设定，本说明书实施例对此不做限定。
[0032]
在步骤s208中，将加密后的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重。
[0033]
在步骤s210中，使用目标模型权重替换训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中。
[0034]
本说明书实施例提供一种模型的处理方法，通过基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，然后，可以获取目标模型对应的目标水印信息，并基于目标水印信息和第一模型权重，
为每个第一模型权重生成相应的权重扰动信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值，将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，并使用目标模型权重替换训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中，以便后续基于获取的目标模型的第一模型权重和与第一模型权重相应的权重扰动信息确定的水印信息是否与目标模型对应的目标水印信息相匹配，来确定目标模型是否存在泄露风险，这样，只修改了基于提示学习的方式中的提示信息对应的参数（即针对需要插入的提示信息确定的第一模型权重），与预训练的目标模型本身无关，不会影响预训练的目标模型的效果，而且上述处理的过程中不添加新的训练数据 ，对目标模型的下游任务影响较小，而且能够通过上述方式，快速有效的确定目标模型是否被泄露，提高模型泄露的检测效率。
[0035]
实施例三如图3所示，本说明书实施例提供一种模型的处理方法，该方法的执行主体可以为终端设备或服务器，其中，该终端设备可以如手机、平板电脑等一定终端设备，还可以如笔记本电脑或台式电脑等计算机设备，或者，也可以为iot设备（具体如智能手表、车载设备等）等。该服务器可以是独立的一个服务器，还可以是由多个服务器构成的服务器集群等，该服务器可以是如金融业务或网络购物业务等的后台服务器，也可以是某应用程序的后台服务器等。本实施例中以服务器为例进行详细说明，对于终端设备的执行过程可以参见下述相关内容，在此不再赘述。该方法具体可以包括以下步骤：在步骤s302中，基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重。
[0036]
在步骤s304中，获取目标模型对应的目标水印信息，并基于目标水印信息，为每个第一模型权重生成相应的子水印信息，对每个子水印信息进行隐私保护处理，生成与每个第一模型权重相应的权重扰动信息。
[0037]
在实施中，可以获取目标模型对应的目标水印信息，然后，可以将目标水印信息进行切分或拆分，得到多个子水印信息，每个子水印信息可以对应一个第一模型权重，为了防止子水印信息被篡改或被窃取，可以对每个子水印信息进行隐私保护处理，生成与每个第一模型权重相应的权重扰动信息，具体如，可以使用预先设定的算法对每个子水印信息进行计算（具体如，可以为每个子水印信息加上指定的数值等），得到的结果可以作为与每个第一模型权重相应的权重扰动信息。
[0038]
在实际应用中，上述对每个子水印信息进行隐私保护处理，生成与每个第一模型权重相应的权重扰动信息的处理可以多种多样，以下再提供一种可选的处理方式，具体可以包括以下内容：基于每个子水印信息生成相应的随机噪声信息，将生成的随机噪声信息作为与每个第一模型权重相应的权重扰动信息。
[0039]
在步骤s306中，对权重扰动信息进行加密处理，得到加密后的权重扰动信息。
[0040]
在步骤s308中，将加密后的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重。
[0041]
在步骤s310中，使用目标模型权重替换训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业
务中。
[0042]
本说明书实施例提供一种模型的处理方法，通过基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，然后，可以获取目标模型对应的目标水印信息，并基于目标水印信息和第一模型权重，为每个第一模型权重生成相应的权重扰动信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值，将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，并使用目标模型权重替换训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中，以便后续基于获取的目标模型的第一模型权重和与第一模型权重相应的权重扰动信息确定的水印信息是否与目标模型对应的目标水印信息相匹配，来确定目标模型是否存在泄露风险，这样，只修改了基于提示学习的方式中的提示信息对应的参数（即针对需要插入的提示信息确定的第一模型权重），与预训练的目标模型本身无关，不会影响预训练的目标模型的效果，而且上述处理的过程中不添加新的训练数据 ，对目标模型的下游任务影响较小，而且能够通过上述方式，快速有效的确定目标模型是否被泄露，提高模型泄露的检测效率。
[0043]
实施例四如图4所示，本说明书实施例提供一种模型的处理方法，该方法的执行主体可以为终端设备或服务器，其中，该终端设备可以如手机、平板电脑等一定终端设备，还可以如笔记本电脑或台式电脑等计算机设备，或者，也可以为iot设备（具体如智能手表、车载设备等）等。该服务器可以是独立的一个服务器，还可以是由多个服务器构成的服务器集群等，该服务器可以是如金融业务或网络购物业务等的后台服务器，也可以是某应用程序的后台服务器等。本实施例中以服务器为例进行详细说明，对于终端设备的执行过程可以参见下述相关内容，在此不再赘述。该方法具体可以包括以下步骤：在步骤s402中，获取目标业务部署的目标模型，目标模型是基于提示学习的方式进行模型训练后得到。
[0044]
在实施中，可以通过网络爬虫从互联网中爬取目标业务的目标模型，或者，可以从指定的数据库中搜索目标业务的目标模型等，具体可以根据实际情况设定，本说明书实施例对此不做限定。获取到目标模型后，可以检测目标模型是否是基于提示学习的方式进行模型训练后得到，具体可以检测目标模型的使用过程中是否需要插入提示信息等，如果检测目标模型的使用过程中需要插入提示信息，则可以确定目标模型是基于提示学习的方式进行模型训练后得到，否则，目标模型不是基于提示学习的方式进行模型训练后得到，具体可以根据实际情况设定，本说明书实施例对此不做限定。
[0045]
在步骤s404中，获取目标模型中插入的提示信息对应的第一模型权重和与第一模型权重相应的权重扰动信息，该权重扰动信息是基于目标模型对应的水印信息和第一模型权重，为每个第一模型权重生成的信息，第一模型权重和权重扰动信息是从目标模型对应的目标模型权重中获取的信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值。
[0046]
在步骤s406中，如果基于获取的第一模型权重和与第一模型权重相应的权重扰动信息确定的水印信息与目标模型对应的目标水印信息相匹配，则确定目标模型存在泄露风
险。
[0047]
在实施中，基于获取的第一模型权重和与第一模型权重相应的权重扰动信息，通过预先设定的算法进行计算，得到相应的结果，可以基于该结果确定相应的水印信息，然后，可以将该水印信息与目标模型对应的目标水印信息相匹配，如果两者匹配，则确定目标模型存在泄露风险，否则，目标模型不存在泄露风险。
[0048]
本说明书实施例提供一种模型的处理方法，通过基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，然后，可以获取目标模型对应的目标水印信息，并基于目标水印信息和第一模型权重，为每个第一模型权重生成相应的权重扰动信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值，将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，并使用目标模型权重替换训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中，以便后续基于获取的目标模型的第一模型权重和与第一模型权重相应的权重扰动信息确定的水印信息是否与目标模型对应的目标水印信息相匹配，来确定目标模型是否存在泄露风险，这样，只修改了基于提示学习的方式中的提示信息对应的参数（即针对需要插入的提示信息确定的第一模型权重），与预训练的目标模型本身无关，不会影响预训练的目标模型的效果，而且上述处理的过程中不添加新的训练数据 ，对目标模型的下游任务影响较小，而且能够通过上述方式，快速有效的确定目标模型是否被泄露，提高模型泄露的检测效率。
[0049]
实施例五如图5所示，本说明书实施例提供一种模型的处理方法，该方法的执行主体可以为终端设备或服务器，其中，该终端设备可以如手机、平板电脑等一定终端设备，还可以如笔记本电脑或台式电脑等计算机设备，或者，也可以为iot设备（具体如智能手表、车载设备等）等。该服务器可以是独立的一个服务器，还可以是由多个服务器构成的服务器集群等，该服务器可以是如金融业务或网络购物业务等的后台服务器，也可以是某应用程序的后台服务器等。本实施例中以服务器为例进行详细说明，对于终端设备的执行过程可以参见下述相关内容，在此不再赘述。该方法具体可以包括以下步骤：在步骤s502中，获取目标业务部署的目标模型，目标模型是基于提示学习的方式进行模型训练后得到。
[0050]
在步骤s504中，获取目标模型中插入的提示信息对应的第一模型权重和与第一模型权重相应的权重扰动信息，该权重扰动信息是基于目标模型对应的水印信息和第一模型权重，为每个第一模型权重生成的信息，第一模型权重和所述权重扰动信息是从目标模型对应的目标模型权重中获取的信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值。
[0051]
在步骤s506中，基于第一模型权重和与第一模型权重相应的权重扰动信息，以及目标水印信息、第一模型权重和与第一模型权重相应的权重扰动信息三者需要满足的预设条件，确定水印信息。
[0052]
其中，预设条件可以包括多种，具体可以如上述实施例二中的相关内容，在此不再赘述。
[0053]
在步骤s508中，如果基于获取的第一模型权重和与第一模型权重相应的权重扰动信息确定的水印信息与目标模型对应的目标水印信息相匹配，则确定目标模型存在泄露风险。
[0054]
本说明书实施例提供一种模型的处理方法，通过基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，然后，可以获取目标模型对应的目标水印信息，并基于目标水印信息和第一模型权重，为每个第一模型权重生成相应的权重扰动信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值，将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，并使用目标模型权重替换训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中，以便后续基于获取的目标模型的第一模型权重和与第一模型权重相应的权重扰动信息确定的水印信息是否与目标模型对应的目标水印信息相匹配，来确定目标模型是否存在泄露风险，这样，只修改了基于提示学习的方式中的提示信息对应的参数（即针对需要插入的提示信息确定的第一模型权重），与预训练的目标模型本身无关，不会影响预训练的目标模型的效果，而且上述处理的过程中不添加新的训练数据 ，对目标模型的下游任务影响较小，而且能够通过上述方式，快速有效的确定目标模型是否被泄露，提高模型泄露的检测效率。
[0055]
实施例六如图6所示，本说明书实施例提供一种模型的处理方法，该方法的执行主体可以为终端设备或服务器，其中，该终端设备可以如手机、平板电脑等一定终端设备，还可以如笔记本电脑或台式电脑等计算机设备，或者，也可以为iot设备（具体如智能手表、车载设备等）等。该服务器可以是独立的一个服务器，还可以是由多个服务器构成的服务器集群等，该服务器可以是如金融业务或网络购物业务等的后台服务器，也可以是某应用程序的后台服务器等。本实施例中以服务器为例进行详细说明，对于终端设备的执行过程可以参见下述相关内容，在此不再赘述。该方法具体可以包括以下步骤：在步骤s602中，获取目标业务部署的目标模型，目标模型是基于提示学习的方式进行模型训练后得到。
[0056]
在步骤s604中，获取目标模型中插入的提示信息对应的第一模型权重和与第一模型权重相应的权重扰动信息，该权重扰动信息是基于目标模型对应的水印信息和第一模型权重，为每个第一模型权重生成的信息，第一模型权重和权重扰动信息是从所述目标模型对应的目标模型权重中获取的信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值。
[0057]
其中，权重扰动信息可以基于噪声信息确定，具体可以参见上述相关内容，在此不再赘述。
[0058]
在步骤s606中，基于第一模型权重和与第一模型权重相应的权重扰动信息，确定每个模型权重对应的子水印信息。
[0059]
在步骤s608中，将确定的每个模型权重对应的子水印信息进行拼接处理，得到水印信息。
[0060]
在步骤s610中，如果基于获取的第一模型权重和与第一模型权重相应的权重扰动
信息确定的水印信息与目标模型对应的目标水印信息相匹配，则确定目标模型存在泄露风险。
[0061]
本说明书实施例提供一种模型的处理方法，通过基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，然后，可以获取目标模型对应的目标水印信息，并基于目标水印信息和第一模型权重，为每个第一模型权重生成相应的权重扰动信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值，将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，并使用目标模型权重替换训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中，以便后续基于获取的目标模型的第一模型权重和与第一模型权重相应的权重扰动信息确定的水印信息是否与目标模型对应的目标水印信息相匹配，来确定目标模型是否存在泄露风险，这样，只修改了基于提示学习的方式中的提示信息对应的参数（即针对需要插入的提示信息确定的第一模型权重），与预训练的目标模型本身无关，不会影响预训练的目标模型的效果，而且上述处理的过程中不添加新的训练数据 ，对目标模型的下游任务影响较小，而且能够通过上述方式，快速有效的确定目标模型是否被泄露，提高模型泄露的检测效率。
[0062]
实施例七以上为本说明书实施例提供的模型的处理方法，基于同样的思路，本说明书实施例还提供一种模型的处理装置，如图7所示。
[0063]
该模型的处理装置包括：参数获取模块701、扰动确定模块702和模型部署模块703，其中：参数获取模块701，基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重；扰动确定模块702，获取所述目标模型对应的目标水印信息，并基于所述目标水印信息和所述第一模型权重，为每个所述第一模型权重生成相应的权重扰动信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值；模型部署模块703，将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，并使用所述目标模型权重替换所述训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中。
[0064]
本说明书实施例中，所述扰动确定模块702，基于所述目标水印信息和所述第一模型权重，以及所述目标水印信息、所述第一模型权重及其相应的噪声信息三者需要满足的预设条件，为每个所述第一模型权重生成相应的噪声信息，将生成的噪声信息作为与每个所述第一模型权重相应的权重扰动信息。
[0065]
本说明书实施例中，所述扰动确定模块702，获取所述目标模型对应的目标水印信息，并基于所述目标水印信息，为每个所述第一模型权重生成相应的子水印信息，对每个子水印信息进行隐私保护处理，生成与每个所述第一模型权重相应的权重扰动信息。
[0066]
本说明书实施例中，所述扰动确定模块702，基于每个子水印信息生成相应的随机噪声信息，将生成的随机噪声信息作为与每个所述第一模型权重相应的权重扰动信息。
[0067]
本说明书实施例中，所述装置还包括：加密模块，对所述权重扰动信息进行加密处理，得到加密后的权重扰动信息；所述模型部署模块，将加密后的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重。
[0068]
本说明书实施例提供一种模型的处理装置，通过基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，然后，可以获取目标模型对应的目标水印信息，并基于目标水印信息和第一模型权重，为每个第一模型权重生成相应的权重扰动信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值，将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，并使用目标模型权重替换训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中，以便后续基于获取的目标模型的第一模型权重和与第一模型权重相应的权重扰动信息确定的水印信息是否与目标模型对应的目标水印信息相匹配，来确定目标模型是否存在泄露风险，这样，只修改了基于提示学习的方式中的提示信息对应的参数（即针对需要插入的提示信息确定的第一模型权重），与预训练的目标模型本身无关，不会影响预训练的目标模型的效果，而且上述处理的过程中不添加新的训练数据 ，对目标模型的下游任务影响较小，而且能够通过上述方式，快速有效的确定目标模型是否被泄露，提高模型泄露的检测效率。
[0069]
实施例八以上为本说明书实施例提供的模型的处理方法，基于同样的思路，本说明书实施例还提供一种模型的处理装置，如图8所示。
[0070]
该模型的处理装置包括：模型获取模块801、信息提取模块802和风险确定模块803，其中：模型获取模块801，获取目标业务部署的目标模型，所述目标模型是基于提示学习的方式进行模型训练后得到；信息提取模块802，获取所述目标模型中插入的提示信息对应的第一模型权重和与所述第一模型权重相应的权重扰动信息，所述权重扰动信息是基于所述目标模型对应的水印信息和所述第一模型权重，为每个所述第一模型权重生成的信息，所述第一模型权重和所述权重扰动信息是从所述目标模型对应的目标模型权重中获取的信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值；风险确定模块803，如果基于获取的第一模型权重和与所述第一模型权重相应的权重扰动信息确定的水印信息与所述目标模型对应的目标水印信息相匹配，则确定所述目标模型存在泄露风险。
[0071]
本说明书实施例中，所述装置还包括：第一水印确定模块，基于所述第一模型权重和与所述第一模型权重相应的权重扰动信息，以及所述目标水印信息、所述第一模型权重和与所述第一模型权重相应的权重扰动信息三者需要满足的预设条件，确定所述水印信息。
[0072]
本说明书实施例中，还包括：子水印确定模块，基于所述第一模型权重和与所述第一模型权重相应的权重扰动
信息，确定每个所述模型权重对应的子水印信息；第二水印确定模块，将确定的每个所述模型权重对应的子水印信息进行拼接处理，得到所述水印信息。
[0073]
本说明书实施例中，所述权重扰动信息基于噪声信息确定。
[0074]
本说明书实施例提供一种模型的处理装置，通过基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，然后，可以获取目标模型对应的目标水印信息，并基于目标水印信息和第一模型权重，为每个第一模型权重生成相应的权重扰动信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值，将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，并使用目标模型权重替换训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中，以便后续基于获取的目标模型的第一模型权重和与第一模型权重相应的权重扰动信息确定的水印信息是否与目标模型对应的目标水印信息相匹配，来确定目标模型是否存在泄露风险，这样，只修改了基于提示学习的方式中的提示信息对应的参数（即针对需要插入的提示信息确定的第一模型权重），与预训练的目标模型本身无关，不会影响预训练的目标模型的效果，而且上述处理的过程中不添加新的训练数据 ，对目标模型的下游任务影响较小，而且能够通过上述方式，快速有效的确定目标模型是否被泄露，提高模型泄露的检测效率。
[0075]
实施例九以上为本说明书实施例提供的模型的处理装置，基于同样的思路，本说明书实施例还提供一种模型的处理设备，如图9所示。
[0076]
所述模型的处理设备可以为上述实施例提供终端设备或服务器等。
[0077]
模型的处理设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上的处理器901和存储器902，存储器902中可以存储有一个或一个以上存储应用程序或数据。其中，存储器902可以是短暂存储或持久存储。存储在存储器902的应用程序可以包括一个或一个以上模块（图示未示出），每个模块可以包括对模型的处理设备中的一系列计算机可执行指令。更进一步地，处理器901可以设置为与存储器902通信，在模型的处理设备上执行存储器902中的一系列计算机可执行指令。模型的处理设备还可以包括一个或一个以上电源903，一个或一个以上有线或无线网络接口904，一个或一个以上输入输出接口905，一个或一个以上键盘906。
[0078]
具体在本实施例中，模型的处理设备包括有存储器，以及一个或一个以上的程序，其中一个或者一个以上程序存储于存储器中，且一个或者一个以上程序可以包括一个或一个以上模块，且每个模块可以包括对模型的处理设备中的一系列计算机可执行指令，且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令：基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重；获取所述目标模型对应的目标水印信息，并基于所述目标水印信息和所述第一模型权重，为每个所述第一模型权重生成相应的权重扰动信息，其中，生成的权重扰动信息能
够对相应的第一模型权重进行扰动的程度小于预设阈值；将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，并使用所述目标模型权重替换所述训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中。
[0079]
本说明书实施例中，所述基于所述目标水印信息和所述第一模型权重，为每个所述第一模型权重生成相应的权重扰动信息，包括：基于所述目标水印信息和所述第一模型权重，以及所述目标水印信息、所述第一模型权重及其相应的噪声信息三者需要满足的预设条件，为每个所述第一模型权重生成相应的噪声信息，将生成的噪声信息作为与每个所述第一模型权重相应的权重扰动信息。
[0080]
本说明书实施例中，所述基于所述目标水印信息和所述第一模型权重，为每个所述第一模型权重生成相应的权重扰动信息，包括：获取所述目标模型对应的目标水印信息，并基于所述目标水印信息，为每个所述第一模型权重生成相应的子水印信息，对每个子水印信息进行隐私保护处理，生成与每个所述第一模型权重相应的权重扰动信息。
[0081]
本说明书实施例中，所述对每个子水印信息进行隐私保护处理，生成与每个所述第一模型权重相应的权重扰动信息，包括：基于每个子水印信息生成相应的随机噪声信息，将生成的随机噪声信息作为与每个所述第一模型权重相应的权重扰动信息。
[0082]
本说明书实施例中，还包括：对所述权重扰动信息进行加密处理，得到加密后的权重扰动信息；所述将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，包括：将加密后的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重。
[0083]
此外，具体在本实施例中，模型的处理设备包括有存储器，以及一个或一个以上的程序，其中一个或者一个以上程序存储于存储器中，且一个或者一个以上程序可以包括一个或一个以上模块，且每个模块可以包括对模型的处理设备中的一系列计算机可执行指令，且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令：获取目标业务部署的目标模型，所述目标模型是基于提示学习的方式进行模型训练后得到；获取所述目标模型中插入的提示信息对应的第一模型权重和与所述第一模型权重相应的权重扰动信息，所述权重扰动信息是基于所述目标模型对应的水印信息和所述第一模型权重，为每个所述第一模型权重生成的信息，所述第一模型权重和所述权重扰动信息是从所述目标模型对应的目标模型权重中获取的信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值；如果基于获取的第一模型权重和与所述第一模型权重相应的权重扰动信息确定的水印信息与所述目标模型对应的目标水印信息相匹配，则确定所述目标模型存在泄露风险。
[0084]
本说明书实施例中，还包括：基于所述第一模型权重和与所述第一模型权重相应的权重扰动信息，以及所述目标水印信息、所述第一模型权重和与所述第一模型权重相应的权重扰动信息三者需要满足的预设条件，确定所述水印信息。
[0085]
本说明书实施例中，还包括：基于所述第一模型权重和与所述第一模型权重相应的权重扰动信息，确定每个所述模型权重对应的子水印信息；将确定的每个所述模型权重对应的子水印信息进行拼接处理，得到所述水印信息。
[0086]
本说明书实施例中，所述权重扰动信息基于噪声信息确定。
[0087]
本说明书实施例提供一种模型的处理设备，通过基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，然后，可以获取目标模型对应的目标水印信息，并基于目标水印信息和第一模型权重，为每个第一模型权重生成相应的权重扰动信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值，将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，并使用目标模型权重替换训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中，以便后续基于获取的目标模型的第一模型权重和与第一模型权重相应的权重扰动信息确定的水印信息是否与目标模型对应的目标水印信息相匹配，来确定目标模型是否存在泄露风险，这样，只修改了基于提示学习的方式中的提示信息对应的参数（即针对需要插入的提示信息确定的第一模型权重），与预训练的目标模型本身无关，不会影响预训练的目标模型的效果，而且上述处理的过程中不添加新的训练数据 ，对目标模型的下游任务影响较小，而且能够通过上述方式，快速有效的确定目标模型是否被泄露，提高模型泄露的检测效率。
[0088]
实施例十进一步地，基于上述图1到图6所示的方法，本说明书一个或多个实施例还提供了一种存储介质，用于存储计算机可执行指令信息，一种具体的实施例中，该存储介质可以为u盘、光盘、硬盘等，该存储介质存储的计算机可执行指令信息在被处理器执行时，能实现以下流程：基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重；获取所述目标模型对应的目标水印信息，并基于所述目标水印信息和所述第一模型权重，为每个所述第一模型权重生成相应的权重扰动信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值；将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，并使用所述目标模型权重替换所述训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中。
[0089]
本说明书实施例中，所述基于所述目标水印信息和所述第一模型权重，为每个所述第一模型权重生成相应的权重扰动信息，包括：
基于所述目标水印信息和所述第一模型权重，以及所述目标水印信息、所述第一模型权重及其相应的噪声信息三者需要满足的预设条件，为每个所述第一模型权重生成相应的噪声信息，将生成的噪声信息作为与每个所述第一模型权重相应的权重扰动信息。
[0090]
本说明书实施例中，所述基于所述目标水印信息和所述第一模型权重，为每个所述第一模型权重生成相应的权重扰动信息，包括：获取所述目标模型对应的目标水印信息，并基于所述目标水印信息，为每个所述第一模型权重生成相应的子水印信息，对每个子水印信息进行隐私保护处理，生成与每个所述第一模型权重相应的权重扰动信息。
[0091]
本说明书实施例中，所述对每个子水印信息进行隐私保护处理，生成与每个所述第一模型权重相应的权重扰动信息，包括：基于每个子水印信息生成相应的随机噪声信息，将生成的随机噪声信息作为与每个所述第一模型权重相应的权重扰动信息。
[0092]
本说明书实施例中，还包括：对所述权重扰动信息进行加密处理，得到加密后的权重扰动信息；所述将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，包括：将加密后的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重。
[0093]
此外，在另一种具体的实施例中，该存储介质可以为u盘、光盘、硬盘等，该存储介质存储的计算机可执行指令信息在被处理器执行时，能实现以下流程：获取目标业务部署的目标模型，所述目标模型是基于提示学习的方式进行模型训练后得到；获取所述目标模型中插入的提示信息对应的第一模型权重和与所述第一模型权重相应的权重扰动信息，所述权重扰动信息是基于所述目标模型对应的水印信息和所述第一模型权重，为每个所述第一模型权重生成的信息，所述第一模型权重和所述权重扰动信息是从所述目标模型对应的目标模型权重中获取的信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值；如果基于获取的第一模型权重和与所述第一模型权重相应的权重扰动信息确定的水印信息与所述目标模型对应的目标水印信息相匹配，则确定所述目标模型存在泄露风险。
[0094]
本说明书实施例中，还包括：基于所述第一模型权重和与所述第一模型权重相应的权重扰动信息，以及所述目标水印信息、所述第一模型权重和与所述第一模型权重相应的权重扰动信息三者需要满足的预设条件，确定所述水印信息。
[0095]
本说明书实施例中，还包括：基于所述第一模型权重和与所述第一模型权重相应的权重扰动信息，确定每个所述模型权重对应的子水印信息；将确定的每个所述模型权重对应的子水印信息进行拼接处理，得到所述水印信息。
[0096]
本说明书实施例中，所述权重扰动信息基于噪声信息确定。
[0097]
本说明书实施例提供一种存储介质，通过基于提示学习的方式对目标模型进行模型训练，并获取训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，然后，可以获取目标模型对应的目标水印信息，并基于目标水印信息和第一模型权重，为每个第一模型权重生成相应的权重扰动信息，其中，生成的权重扰动信息能够对相应的第一模型权重进行扰动的程度小于预设阈值，将生成的权重扰动信息与相应的第一模型权重进行融合处理，生成目标模型权重，并使用目标模型权重替换训练后的目标模型中针对需要插入的提示信息确定的第一模型权重，得到待部署的目标模型，将待部署的目标模型部署于相应的业务中，以便后续基于获取的目标模型的第一模型权重和与第一模型权重相应的权重扰动信息确定的水印信息是否与目标模型对应的目标水印信息相匹配，来确定目标模型是否存在泄露风险，这样，只修改了基于提示学习的方式中的提示信息对应的参数（即针对需要插入的提示信息确定的第一模型权重），与预训练的目标模型本身无关，不会影响预训练的目标模型的效果，而且上述处理的过程中不添加新的训练数据 ，对目标模型的下游任务影响较小，而且能够通过上述方式，快速有效的确定目标模型是否被泄露，提高模型泄露的检测效率。
[0098]
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
[0099]
在20世纪90年代，对于一个技术的改进可以很明显地区分是硬件上的改进（例如，对二极管、晶体管、开关等电路结构的改进）还是软件上的改进（对于方法流程的改进）。然而，随着技术的发展，当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此，不能说一个方法流程的改进就不能用硬件实体模块来实现。例如，可编程逻辑器件（programmable logic device，pld）（例如现场可编程门阵列（field programmable gate array，fpga））就是这样一种集成电路，其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片pld上，而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且，如今，取代手工地制作集成电路芯片，这种编程也多半改用“逻辑编译器（logic compiler）”软件来实现，它与程序开发撰写时所用的软件编译器相类似，而要编译之前的原始代码也得用特定的编程语言来撰写，此称之为硬件描述语言（hardware description language，hdl），而hdl也并非仅有一种，而是有许多种，如abel（advanced boolean expression language）、ahdl（altera hardware description language）、confluence、cupl（cornell university programming language）、hdcal、jhdl（java hardware description language）、lava、lola、myhdl、palasm、rhdl（ruby hardware description language）等，目前最普遍使用的是vhdl（very-high-speed integrated circuit hardware description language）与verilog。本领域技术人员也应该清楚，只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中，就可以很容易得到实现该逻辑方法流程的硬件电路。
[0100]
控制器可以按任何适当的方式实现，例如，控制器可以采取例如微处理器或处理器以及存储可由该（微）处理器执行的计算机可读程序代码（例如软件或固件）的计算机可读介质、逻辑门、开关、专用集成电路（application specific integrated circuit，asic）、可编程逻辑控制器和嵌入微控制器的形式，控制器的例子包括但不限于以下微控制器：arc 625d、atmel at91sam、microchip pic18f26k20 以及silicone labs c8051f320，存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
[0101]
上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
[0102]
为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本说明书一个或多个实施例时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
[0103]
本领域内的技术人员应明白，本说明书的实施例可提供为方法、系统、或计算机程序产品。因此，本说明书一个或多个实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本说明书一个或多个实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、cd-rom、光学存储器等）上实施的计算机程序产品的形式。
[0104]
本说明书的实施例是参照根据本说明书实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程欺诈案例的串并设备的处理器以产生一个机器，使得通过计算机或其他可编程欺诈案例的串并设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。
[0105]
这些计算机程序指令也可存储在能引导计算机或其他可编程欺诈案例的串并设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。
[0106]
这些计算机程序指令也可装载到计算机或其他可编程欺诈案例的串并设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。
[0107]
在一个典型的配置中，计算设备包括一个或多个处理器（cpu）、输入/输出接口、网
络接口和内存。
[0108]
内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器（ram）和/或非易失性内存等形式，如只读存储器（rom）或闪存（flash ram）。内存是计算机可读介质的示例。
[0109]
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存（pram）、静态随机存取存储器（sram）、动态随机存取存储器（dram）、其他类型的随机存取存储器（ram）、只读存储器（rom）、电可擦除可编程只读存储器（eeprom）、快闪记忆体或其他内存技术、只读光盘只读存储器（cd-rom）、数字多功能光盘（dvd）或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体（transitory media），如调制的数据信号和载波。
[0110]
还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
[0111]
本领域技术人员应明白，本说明书的实施例可提供为方法、系统或计算机程序产品。因此，本说明书一个或多个实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本说明书一个或多个实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、cd-rom、光学存储器等）上实施的计算机程序产品的形式。
[0112]
本说明书一个或多个实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书一个或多个实施例，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
[0113]
本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0114]
以上所述仅为本说明书的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本说明书的权利要求范围之内。