【技术实现步骤摘要】
一种跨域模型逆向攻击方法
[0001]本专利技术属于人工智能安全
,具体涉及一种跨域模型逆向攻击方法。
技术介绍
[0002]随着深度学习的广泛应用,其存在的安全问题也日益受到了人们的重视。模型逆向攻击(Mode l I nvers i on Attack,M IA)旨在通过查询给定的深度神经网络模型来恢复其使用的训练数据。目前,模型逆向攻击根据其所采用的技术路线可以被分为两种:基于搜索的逆向方法和基于训练的逆向方法。基于搜索的逆向方法通过搜索输入的原始图像空间或其对应的潜在空间得到隐私图像。基于训练的逆向方法利用辅助数据训练一个逆向模型,使用逆向模型直接将隐私图像对应的深度特征或预测向量恢复成隐私图像。
[0003]文献Matt Fredr i kson,SomeshJha,and Thomas Ri stenpart.Mode li nvers i on attacks that exp l o i t conf i dence i nformat i onand bas i c countermeasur...
【技术保护点】
【技术特征摘要】
1.一种跨域模型逆向攻击方法,其特征在于,包括如下步骤:S1,获取待攻击目标网络的白盒访问权限:所述待攻击目标网络已使用隐私图像训练完成,具备图像分类功能,隐私图像保密;所述白盒访问权限包括但不限于查询网络对输入图像的分类结果,获取网络的结构,网络中间层输出的深度特征;S2,获取隐私图像深度特征并制作数据集:所述隐私图像深度特征为目标网络中间层输出的深度特征;S3,获取辅助图像样本并制作数据集:所述辅助图像数据集和训练目标网络使用的隐私图像数据集具有相同的类别,但两者有域差异;S4,建立对抗域对齐模型逆向攻击网络模型:所述对抗域对齐模型逆向攻击网络模型包括特征对齐模块、图像重构模块和域判别模块,所述特征对齐模块用于对来自不同域的深度特征进行重新提取并对齐,以消除不同域深度特征之间的域差异;所述图像重构模块位于特征对齐模块之后,用于恢复图像;所述域判别模块也位于特征对齐模块之后,用于判别深度特征所属的域;S5,训练对抗域对齐模型逆向攻击网络模型:使用步骤S2建立好的隐私图像深度特征数据集和步骤S3获得的辅助图像数据集对步骤S4建立的对抗域对齐模型逆向攻击网络模型进行训练,对网络内的权重参数进行更新,直到网络的损失函数收敛,得到训练好的对抗域对齐模型逆向攻击网络模型;S6,结果输出:将采集得到的隐私图像深度特征输入训练好的对抗域对齐模型逆向攻击网络模型,得到恢复的隐私图像。2.根据权利要求1所述的一种跨域模型逆向攻击方法,其特征在于:所述步骤S1中的待攻击目标网络包括特征提取器和分类器,所述特征提取器用于提取图像的深度特征,所述分类器用于对图像的深度特征进行分类进而得到图像的分类结果。3.根据权利要求2所述的一种跨域模型逆向攻击方法,其特征在于:所述特征提取器包括多个卷积层、批归一化层、池化层与激活层;所述池化层为最大池化、均匀池化中的任意一种;所述激活层使用的激活函数形式包括但不限于ReLU、tanh;所述分类器包括多个全连接层与Dropout层。4.根据权利要求1或2或3所述的一种跨域模型逆向攻击方法,其特征在于:所述步骤S1和S2中通过白盒访问获得的网络中间层输出的深度特征包括但...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。