近年来,人工智能飞速发展,正在以空前的广度和深度推动社会进步。作为当前人工智能技术的重要分支之一,深度神经网络被广泛应用于图像分类、语音识别、自然语言处理等领域,发挥了不可替代的作用。训练深度神经网络需要大量的训练数据、强大的计算能力、相关的专业知识和专业经验。因此,一个训练好的高性能深度神经网络具有很高的价值,通常被视作模型所有者的知识产权。模型所有者可以基于自己拥有的模型对外提供付费服务,也可以将该模型出售或分发给一些授权用户。然而,高性能模型为模型所有者带来利益的同时,也成为了攻击者的目标。攻击者可能会滥用窃取到的模型,这将侵犯模型所有者的知识产权。盗窃模型的攻击方法层出不穷,想要通过防御手段完全规避攻击者的盗窃行为几乎是不现实的。在这种情况下,模型所有者希望能够声明对被盗窃模型的所有权。因此,开展深度神经网络的知识产权保护工作是十分必要的。为了实现对模型的知识产权保护,研究者们将多媒体中的数字水印概念引入到了深度神经网络中。这项工作尚处于起步阶段,目前仍面临着一些挑战。大多数深度神经网络中的数字水印方案是基于后门攻击的,这些方案要么只能验证模型中是否存在水印,没有在模型水印和模型所有者之间建立联系,要么存在将无水印模型验证为有水印模型的可能性。此外,现有的大多数方案侧重于实现模型所有权的验证功能,而对于使用相同知识产权的不同授权用户还未能实现追踪功能。当模型所有者在发现侵权行为时,无法确认是哪一个授权用户滥用了模型,即现有的大部分数字水印方案没有实现可溯源追踪。本文针对以上问题展开研究,主要工作如下:1)提出了一种基于额外类的多比特数字水印方案。该方案基于后门攻击,为嵌入了模型所有者数字签名的关键样本分配一个额外类标签,然后将其嵌入到模型中,从而可以通过触发该标签来实现黑盒场景下的模型所有权验证。该方案使用了多媒体中的数字水印技术,通过将模型所有者的数字签名嵌入到关键样本中来建立模型所有者和模型水印之间的关联。此外,为关键样本分配额外类标签可以避免将无水印模型验证为有水印模型。2)提出了一种可溯源数字水印方案。该方案结合了基于额外类的多比特数字水印方案和已有的白盒水印方案。在该方案中,模型所有者首先使用基于额外类的多比特数字水印方案得到一个有水印模型。在将有水印模型出售或分发给授权用户之前,模型所有者在该模型的参数中为不同授权用户嵌入相应的用户指纹。该方案基于后门攻击来实现黑盒场景下的模型所有权验证,通过为不同授权用户分发嵌入了不同指纹的有水印模型来实现白盒场景下的可溯源追踪。3)对提出的数字水印方案进行了性能评估,并与现有工作进行了比较。实验表明,在不影响模型性能的前提下,基于额外类的多比特数字水印方案能够实现黑盒场景下的模型所有权验证,可溯源数字水印方案能够实现黑盒场景下的模型所有权验证和白盒场景下的可溯源追踪。此外,这两个方案构建了模型所有者和验证模型所有权的水印信息之间的关联,对模型微调和模型剪枝具有较强的鲁棒性。