深度学习具有卓越的性能,在计算机视觉、自然语言处理、语音识别等领域应用越来越广泛。训练一个高性能的深度学习模型通常需要大量的数据和计算资源,这给模型训练者带来了高昂的成本,因此非法的模型滥用,比如模型盗窃、衍生或再分发等行为严重侵犯了模型所有者的权益,深度学习模型的知识产权必须得到保护。深度神经网络水印技术已经被提出,是目前深度学习领域保护模型知识产权的主要技术。然而,几乎所有已提出的水印方案都只关注图像数据,适用于文本数据的水印方案非常欠缺。其次,现有水印方案难以保证水印的不可探测性,因为这些水印面临着被敌手检测到进而失效的风险。再者,现有水印方案难以识别特定的水印模型,即从多个用户中确定哪个用户滥用了模型。为了解决现阶段神经网络水印面临的这些难题,本文提出了一个新型的深度神经网络水印方案。本文的主要工作和创新如下:（1）提出了一种适用于文本数据的具有反探测和追溯能力的深度神经网络黑盒水印方案。本文从文本数据的角度出发,使用原始未修改的真实文本作为触发集样本,从本质上解决了触发集与训练集样本之间差异较大的问题,保证了水印的不可探测性。其次,本文为每个模型分配一个唯一的序列号,然后在触发集和序列号之间构造映射,从而完成了对特定模型的识别和追踪。再者,本文让触发集和训练集从头一起分批次并按照设定的比例训练模型,降低了触发集损失。对于模型所有权验证,本文使用样本标签分组对比的方法来提取模型嵌入的序列号,从而完成模型所有权验证。（2）分别在2个基准数据集和3个主流的深度神经网络模型上实现了所提出的水印方案,实验结果表明本文所提出的水印方案能够成功验证模型的所有权。本文使用二分类数据集SST-2和多分类数据集AG-News,在Text CNN、Text RNN和BERT等模型上实现了所提出的水印方案。实验表明,嵌入模型的序列号都可以被正确提取到,模型的所有权都可以被成功验证。（3）按照常用的评估指标对本文所提出的水印方案进行了深入评估,实验表明本文水印方案能够满足所有指标。本文基于可行性、保真性、不可探测性、唯一性、鲁棒性以及可扩展性等指标对所提出的水印方案进行了分析。实验结果显示,本文所提出的水印方案成功适用于文本数据,不仅可以为每个水印模型分配唯一的标识,而且水印嵌入对模型性能几乎没有影响。其次,本文水印方案从本质上避免了语法检查、特殊字符检查等技术的检测,也能够抵抗最先进的神经网络文本后门防御技术。再者,本文水印能够抵御常见的模型修改攻击且支持大量用户使用。