结合训练集数据分布和W距离的模型窃取检测方法技术

本发明专利技术涉及结合训练集数据分布和W距离的模型窃取检测方法，属于计算机与信息科学技术领域。本发明专利技术首先利用VAE方法对训练集和查询集降维；其次利用极大似然估计计算查询集概率分布，依概率分布采样得到多组待检测样本；随后，对每组待检测样本，在训练集中随机采样得到相同数量的参考样本，计算每组待检测样本与参考样本间的W距离；最后，使用参考样本中类别数和总类别数的比值为权值，加权计算所有的W距离，当加权计算结果大于检测阈值时判定检测出为模型窃取。本发明专利技术提出关联训练集数据分布的模型窃取检测方法，同时考虑查询集和训练集样本分布特点，改进W距离计算方法，有效提升模型窃取检测的准确率。型窃取检测的准确率。型窃取检测的准确率。

【技术实现步骤摘要】
结合训练集数据分布和W距离的模型窃取检测方法


[0001]本专利技术涉及结合训练集数据分布和W距离的模型窃取检测方法，属于计算机与信息科学


技术介绍

[0002]模型窃取攻击是一类窃取模型功能或者模拟模型决策边界的恶意行为。被窃取的模型往往是拥有者花费大量时间和金钱训练而成，具有巨大的商业价值，一旦遭到窃取，会使模型拥有者的权益受到损害，同时被窃取的模型会为对抗攻击提供跳板。因此，研究高准确率模型窃取检测方法有重要的理论意义和实用价值。
[0003]现有的模型窃取检测方法主要是基于异常样本的检测方法。攻击者为提高攻击效率，会利用训练样本集中的少部分样本进行样本合成，使合成的样本更为逼近目标模型的分类边界，或是充分利用目标模型的预测向量作为反馈，使用相关数据集或是随机生成向量训练替代模型。现有研究致力于挖掘异常样本引起的查询样本分布变化，例如，以“有限空间中随机抽取两点的距离服从正态分布”为前提，分析一组查询样本的距离是否服从正态分布；或者，通过K近邻算法判断查询样本中是否存在过多近邻样本。但现有检测方法无法随着模型的改变而变动，当攻击者成功窃取一个模型后便可依据此方法窃取多个模型，且检测标准较为简单，易被攻击者多次尝试后推断，从而被绕过，以至于无法应对后续攻击，极大的影响了检测的准确率。
[0004]综上所述，现有的模型窃取检测方法检测标准简单且固定，易被攻击者推断后进行绕过。所以本专利技术提出结合训练集数据分布和W距离的模型窃取检测方法。

技术实现思路

[0005]本专利技术的目的是针对模型窃取检测时检测标准固定且易被推断，提出了结合训练集数据分布和W距离的模型窃取检测方法。
[0006]本专利技术的设计原理为：首先，利用训练数据集训练VAE模型，并计算训练集在VAE的输出，构成降维数据集S；其次，将一组查询样本作为VAE模型输入样本，得到查询样本的降维数据集S
′
，并利用极大似然估计计算S
′
的概率分布，依据概率分布采样得k组待检测样本，每组容量为D；再次，对于从S
′
中采样的每一组数据，从S中随机采样一组容量为D的参考样本组作为W距离计算对，计算两组间的W距离，即Wasserstein距离；最后，利用参考样本类别数与总类别数的比值为权值，加权计算W距离进行查询行为判别。
[0007]本专利技术的技术方案是通过如下步骤实现的：
[0008]步骤1，利用训练数据集训练VAE模型和目标模型，并利用VAE模型得到训练数据集的降维数据集S。
[0009]步骤1.1，构建VAE模型框架。
[0010]步骤1.2，确定VAE模型损失函数。
[0011]步骤1.3，利用VAE模型对训练集数据进行编码，得到降维后的数据，构成数据集S。
[0012]步骤2，利用VAE模型对查询数据降维，并基于极大似然估计计算每一维概率分布，由概率分布采样得多组数据。
[0013]步骤2.1，为输入查询样本维护队列m，队列长度为D。
[0014]步骤2.2，利用VAE模型对输入样本进行降维，维数为h，加入队列m，当m满时，移除队头样本，将新样本加入队尾。
[0015]步骤2.3，VAE模型最大程度地提取了查询样本的特征信息，且降维后的数据每一维均独立。因此，基于极大似然估计计算队列m中数据每一维的概率密度和概率分布，由h组概率分布采样得1组数据，重复k次。
[0016]步骤3，对步骤2.3中所得每一组数据，从S中随机采样容量相同的数据组作为Wasserstein距离计算对。
[0017]步骤4，计算步骤3中每对数据组的Wasserstein距离，依据步骤3中数据组中样本的类别数和总类别数的比值对结果进行加权求和得最终距离W。
[0018]步骤5，使用最终距离W判断查询行为。
[0019]有益效果
[0020]相比于现有的模型窃取检测方法，本专利技术结合训练集数据分布和W统计分布距离计算方法。首先，相比于常用的KL散度和JS散度，W距离可以在两个样本集重叠很少的情况下计算二者分布距离，提升了检测的稳定性。其次，方法以训练集分布为检测标准，模型训练集样本数量多，分布复杂且不对外公布，同时各个模型训练集不同，提供了难以轻易绕过的检测标准；其次，方法充分考虑了模型窃取的特点，认为正常查询使用的样本分布和训练集样本近似相同，因此，方法可以有效应对多种模型窃取攻击；然后，对查询样本数据求概率分布后再进行多组采样，能够充分反映出查询样本的分布特征，利于分布判别；最后，对每组结果加权计算，使类别过少造成的W距离大值的影响减小，提高检测的准确率。
附图说明
[0021]图1为本专利技术基于W距离的模型窃取检测方法原理图。
具体实施方式
[0022]为了更好的说明本专利技术的目的和优点，下面结合实例对本专利技术方法的实施方式做进一步详细说明。
[0023]实验数据来自多种图像分类数据，包括10分类衣物类Fashion
‑
MNIST数据集、10分类小型物体类CIFAR10数据集、谷歌街景门牌号码SVHN数据集和交通标识GTSRB数据集。将训练集和测试集按9:1的比例切分，用于训练目标模型。
[0024]实验的过程中使用JBDA、KnockoffNets和MAZE三种攻击手段，三种攻击方法各有侧重，JBDA是利用少量训练集样本制作合成样本，由此逼近目标模型分类边界；KnockoffNets是采用和目标模型可能相关的更大的数据集，利用输出反馈完成模型窃取；MAZE不使用任何训练集相关的样本，以使克隆模型和目标模型输出向量信息差最大为前提，训练数据生成器，完成窃取。
[0025]实验采用准确率(Accuracy)评价模型窃取检测的结果，准确率计算方法如公式(1)所示：
[0026][0027]其中，TP是将窃取行为判定为窃取行为的数目，FN是将正常行为判定为正常行为的数目，FP是将正常行为判定为窃取行为的数目，TN是将窃取行为判定为正常行为的数目。
[0028]本次实验在一台计算机和一台服务器上进行，计算机的具体配置为：Inter i7
‑
8750H，CPU 2.20GHz，内存8G，操作系统是windows 10，64位；服务器的具体配置为：E7
‑
4820v4，RAM 256G，操作系统是Linux Ubuntu 64位。
[0029]本次实验的具体流程为：
[0030]步骤1，利用训练数据集训练VAE模型和目标模型，并利用VAE模型得到训练数据集的降维数据，构成数据集S。
[0031]步骤1.1，构建VAE模型框架。
[0032]步骤1.2，确定VAE模型损失函数，如公式(2)和公式(3)所示。
[0033][0034][0035]式中，D
train
为训练数据集，为标准自动编码器重建损耗，计算方式是对D
train
中的样本，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.结合训练集数据分布和W距离的模型窃取检测方法，其特征在于所述方法包括如下步骤：步骤1，利用训练数据集训练VAE模型和目标模型，并利用VAE模型得到训练数据集的降维数据集S，步骤1.1，构建VAE模型框架，步骤1.2，确定VAE模型损失函数，步骤1.3，利用VAE模型对训练集数据进行编码，得到降维后的数据，构成数据集S，步骤2，利用VAE模型对查询数据降维，并基于极大似然估计计算每一维概率分布，由概率分布采样得多组数据，步骤2.1，为输入查询样本维护队列m，队列长度为D，步骤2.2，利用VAE模型对输入样本进行降维，维数为h，加入队列m，当m满时，移除队头样本，将新样本加入队尾，步骤2.3，VAE模型最大程度地提取了查询样本的特征信息，且降维后的数据每一维均独立，因此，基于极大似然估计计算队列m中数据每一维的概率密度和概率分布，由h组概率分布采样得1组数据，重复k次，得k组待检测样本记为步骤3，对步骤2.3中所得每一组数据A
i
，从S中随机采样容量相同的参考样本组B
i
作为W距离计算对，即Wasserste...

【专利技术属性】
技术研发人员：罗森林，张辰龙，潘丽敏，陆永鑫，张笈，
申请(专利权)人：北京理工大学，
类型：发明
国别省市：