本发明专利技术公开了一种跨域黑盒模型逆向攻击方法,包括如下步骤:获取待攻击目标模型的黑盒访问权限;获取隐私图像预测向量并制作数据集;获取辅助图像并制作数据集;建立对抗域对齐逆向攻击模型;使用建立好的辅助图像数据集和隐私图像深度特征数据集训练对抗域对齐逆向攻击模型,对网络内的权重参数进行更新,直到网络的损失函数收敛,得到训练好的对抗域对齐逆向攻击模型;将采集得到的隐私图像预测向量输入训练好的对抗域对齐逆向攻击模型,得到恢复的隐私训练图像,本发明专利技术在具有域差异的场景下实现了高性能的黑盒跨域模型逆向攻击,能够解决目前跨域模型逆向攻击需要白盒访问权限、普通模型逆向攻击在有域差异的场景下攻击效果差等问题。效果差等问题。效果差等问题。
【技术实现步骤摘要】
一种跨域黑盒模型逆向攻击方法
[0001]本专利技术属于人工智能安全
,具体涉及一种跨域黑盒模型逆向攻击方法。
技术介绍
[0002]随着深度学习的广泛应用,其存在的安全问题也日益受到了人们的重视。模型逆向攻击(Model Inversion Attack,MIA)旨在通过查询给定的深度神经网络模型来恢复其使用的训练数据。目前,模型逆向攻击根据其所采用的技术路线可以被分为两种:基于搜索的逆向方法和基于训练的逆向方法。基于搜索的逆向方法通过搜索输入的原始图像空间或其对应的潜在空间得到隐私图像。基于训练的逆向方法利用辅助数据训练一个逆向模型,使用逆向模型直接将隐私图像对应的深度特征或预测向量恢复成隐私图像。
[0003]根据攻击者所能获得的访问权限,模型逆向攻击可以进一步被分为黑盒模型逆向攻击和白盒模型逆向攻击。在黑盒访问权限下,攻击者仅能获得目标模型的查询权限。具体的,攻击者可以获得隐私图像的预测向量并查询给定输入图像的预测向量。在白盒访问权限下,攻击者能进一步获取目标模型的网络结构,权重参数,中间层输出的深度特征等。
[0004]文献Matt Fredrikson,SomeshJha,and Thomas Ristenpart.Model inversion attacks that exploit confidence informationand basic countermeasures.In Proceedings of the 22nd ACMSIGSAC Conference on Computer and Communications Security,CCS
’
15,page 1322
–
1333,New York,NY,USA,Oct2015.Association for Computing Machinery.最早提出了基于搜索的逆向方法。作者在黑盒访问权限下通过搜索原始图像空间从简单的全连接神经网络中恢复出了肉眼可辨别的人脸图像。紧接着,文献Yuheng Zhang,RuoxiJia,Hengzhi Pei,WenxiaoWang,Bo Li,and Dawn Song.The secret revealer:Generativemodel
‑
inversion attacks against deep neural networks.In2020 IEEE/CVF Conference on Computer Vision and PatternRecognition(CVPR),page 250
–
258,Jun 2020.和文献Si Chen,Mostafa Kahla,RuoxiJia,and Guo
‑
Jun Qi.Knowledge
‑
enriched distributional model inversion attacks.In 2021IEEE/CVF International Conference on ComputerVision(ICCV),page 16158
–
16167,2021.等文献提出将生成对抗网络结合进来。通过搜索生成对抗网络的潜在空间,缩小基于搜索的逆向方法的搜索空间,并使得输出图像更自然。文献Ziqi Yang,Jiyi Zhang,Ee
‑
Chien Chang,and Zhenkai Liang.Neural network inversion in adversarial setting via backgroundknowledge alignment.In Proceedings of the 2019ACM SIGSAC Conference on Computer and CommunicationsSecurity,CCS
’
19,page 225
–
240,New York,NY,USA,Nov 2019.Association for Computing Machinery.提出了基于训练的逆向方法。作者通过构建逆向模型,在黑盒访问权限下从预测向量中成功的恢复出了隐私的训练集。
[0005]虽然现有的模型逆向攻击方法展示出了较好的恢复效果,但绝大多数的方法都假设攻击者使用的辅助数据集和训练目标网络所使用的隐私数据集具有相同的分布。因此,现有的方法在辅助数据集和隐私数据集同分布(同域)的情况下表现良好,在辅助数据集和
隐私数据集不同分布(跨域)的情况下表现很差甚至无法恢复出图像,也更加无法在约束条件更强的黑盒访问权限下实现。
技术实现思路
[0006]本专利技术正是针对现有模型逆向攻击在辅助数据集和隐私数据集跨域时效果差,无法实现跨域黑盒模型逆向攻击等问题,提供了一种跨域黑盒模型逆向攻击方法,首先获取待攻击目标模型的黑盒访问权限;获取隐私图像预测向量并制作数据集;获取辅助图像并制作数据集;建立对抗域对齐逆向攻击模型;使用建立好的辅助图像数据集和隐私图像深度特征数据集训练对抗域对齐逆向攻击模型,对网络内的权重参数进行更新,直到网络的损失函数收敛,得到训练好的对抗域对齐逆向攻击模型;将采集得到的隐私图像预测向量输入训练好的对抗域对齐逆向攻击模型,得到恢复的隐私训练图像,本专利技术方法在辅助数据集和隐私数据集具有域差异且攻击者仅有黑盒访问权限的场景下实现了高性能的跨域模型逆向攻击。
[0007]为了实现上述目的,本专利技术采取的技术方案是:一种跨域黑盒模型逆向攻击方法,包括如下步骤:
[0008]S1,获取待攻击目标网络的黑盒访问权限:所述待攻击目标网络已使用隐私图像训练完成,具备图像分类功能,隐私图像保密,所述黑盒访问权限仅限于获取目标网络的分类类别信息与查询网络对输入图像的分类结果;
[0009]S2,获取隐私图像预测向量并制作数据集:所述隐私图像预测向量为目标网络对隐私图像的分类概率结果;
[0010]S3,获取辅助图像并制作数据集:所述辅助图像数据集和训练目标网络使用的隐私图像数据集具有相同的类别,但两者有域差异;
[0011]S4,建立对抗域对齐逆向攻击模型:所述对抗域对齐逆向攻击模型包括辅助分类模块、两个非线性放大层、图像重构模块和域判别模块,所述辅助分类模块从辅助图像数据集中产生与隐私图像预测向量相似的预测向量,进而在预测向量的空间消除辅助图像和隐私图像之间的域差异,所述两个非线性放大层分别位于辅助分类模块后和目标网络后,能够提升逆向恢复图像中同一类别图像的多样性并消除辅助分类模型和目标模型过拟合对逆向的负面影响,所述图像重构模块位于辅助分类模块的非线性放大层之后,用于恢复图像,所述域判别模块也位于辅助分类模块的非线性放大层之后,用于判别深度特征所属的域;
[0012]S5,训练对抗域对齐逆向攻击模型:使用建立好的隐私图像预测向量数据集和辅助图像数据集对对抗域对齐逆向攻击模型进行训练,对网络内本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种跨域黑盒模型逆向攻击方法,其特征在于:包括如下步骤:S1,获取待攻击目标网络的黑盒访问权限:所述待攻击目标网络已使用隐私图像训练完成,具备图像分类功能,隐私图像保密;所述黑盒访问权限仅限于获取目标网络的分类类别信息与查询网络对输入图像的分类结果;S2,获取隐私图像预测向量并制作数据集:所述隐私图像预测向量为目标网络对隐私图像的分类概率结果;S3,获取辅助图像并制作数据集:所述辅助图像数据集和训练目标网络使用的隐私图像数据集具有相同的类别,但两者有域差异;S4,建立对抗域对齐逆向攻击模型:所述对抗域对齐逆向攻击模型包括辅助分类模块、两个非线性放大层、图像重构模块和域判别模块,所述辅助分类模块从辅助图像数据集中产生与隐私图像预测向量相似的预测向量,进而在预测向量的空间消除辅助图像和隐私图像之间的域差异;所述两个非线性放大层分别位于辅助分类模块后和目标网络后,能够提升逆向恢复图像中同一类别图像的多样性并消除辅助分类模型和目标模型过拟合对逆向的负面影响;所述图像重构模块位于辅助分类模块的非线性放大层之后,用于恢复图像;所述域判别模块位于辅助分类模块的非线性放大层之后,用于判别深度特征所属的域;S5,训练对抗域对齐逆向攻击模型:使用步骤S2建立好的隐私图像预测向量数据集和步骤S3获得的辅助图像数据集对步骤S4对抗域对齐逆向攻击模型进行训练,对网络内的权重参数进行更新,直到网络的损失函数收敛,得到训练好的对抗域对齐逆向攻击模型;S6,结果输出:将采集得到的隐私图像深度特征输入训练好的对抗域对齐逆向攻击模型,得到恢复的隐私图像。2.根据权利要求1所述的一种跨域黑盒模型逆向攻击方法,其特征在于:所述步骤S1中待攻击目标网络的网络结构和步骤S4中辅助分类模块的网络结构形式不限,可以由一个或多个卷积层、批归一化层、池化层、激活层及全连接层、Dropout层组成,也可以仅由全连接层组成;所述池化层为最大池化、均匀池化中的任意一种;所述激活层使用的激活函数形式包括但不限于ReLU、tanh。3.根据权利要求2所述的一种跨域黑盒模型逆向攻击方法,其特征在于:所述步骤S4中的非线性放大层包含一个带可变参数的非线性放大函数,具体定义为:定义1:令f:[0,1]
→
[0,1]为一个二阶可导函数,如果f满足如下条件,则它被称作非线性放大函数:(1).x≤f(x)(2).f(0)=0,f(1)=1(3).如果x<y则f(x)<f(y),也即f(x)单调递增(4).f(x)为下凸函数。4.根据权利要求3所述的一种跨域黑盒模型逆向攻击方法,其特征在于:所述步骤S5中训练对抗域对齐逆向攻击模型包含四步:(1)预训练辅助分类模块;(2)训练辅助分类模块对应的非线性放大层;(3)训练目标网络对应的非线性放大层;(4)训练图像重构模块及域判别模块并微调辅助分类模块。5.根据权利要求4所...
【专利技术属性】
技术研发人员:黄杰,张泽平,
申请(专利权)人:东南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。