【技术实现步骤摘要】
一种基于暗知识保护的模型功能窃取防御方法和装置
[0001]本专利技术涉及数据安全的
,尤其是涉及一种基于暗知识保护的模型功能窃取防御方法和装置
。
技术介绍
[0002]目前,基于云的机器学习即服务
(MLaaS)
已经成为了系统开发的新范式,重塑了现有的应用开发方式
。
云端服务的应用程序接口
(API)
为用户提供了强大
、
高效和便捷的深度学习功能,推动了人工智能在各个领域的广泛应用和不断进步
。
用户可以根据自身需求选择调用符合条件的
API
,通常只需要支付一些金钱成本,即可快速获取先进的深度学习服务支持,无需从头开始构建和训练自己的模型
。
[0003]模型功能窃取是指攻击者针对给定受害模型,在黑盒场景下查询深度学习模型,训练出具有相同功能的盗版模型或替代模型的过程,对模型安全产生了巨大威胁
。
恶意攻击者利用机器学习即服务标记足够多的数据之后,可能尝试窃取攻击神经网络模型,以逃避大量使用云端服务产生的费用
。
此外,模型窃取攻击极大程度上增加了云端受害模型遭受攻击的可能性,使得原本难以进行的黑盒攻击变为白盒攻击
。
[0004]目前已经提出了多种用于防御模型功能窃取的方法,较为有效的是隐藏部分后验概率和对后验概率进行扰动
。
隐藏部分后验概率的防御方法并不能绝对降低盗版模型的性能,并且有时反而会增加盗版模型的准确性 ...
【技术保护点】
【技术特征摘要】
1.
一种基于暗知识保护的模型功能窃取防御方法,其特征在于,包括:接收用户发送的测试样本;利用待保护的目标分类模型对所述测试样本进行处理,得到所述测试样本的初始置信度分布向量;其中,所述初始置信度分布向量用于表征所述测试样本属于各个预设类别的概率;基于分区变温调节
softmax
机制对所述初始置信度分布向量进行扰动处理,得到防御后的置信度分布向量;其中,所述初始置信度分布向量中的置信度最大值越大,所述分区变温调节
softmax
机制中温度系数的取值越大
。2.
根据权利要求1所述的基于暗知识保护的模型功能窃取防御方法,其特征在于,所述初始置信度分布向量中的置信度最大值所属的范围分区与所述分区变温调节
softmax
机制中温度系数的取值区间存在预设对应关系
。3.
根据权利要求2所述的基于暗知识保护的模型功能窃取防御方法,其特征在于,置信度最大值的范围分区的数量至少为3个
。4.
根据权利要求1所述的基于暗知识保护的模型功能窃取防御方法,其特征在于,基于分区变温调节
softmax
机制对所述初始置信度分布向量进行扰动处理,得到防御后的置信度分布向量,包括:利用算式对初始置信度分布向量
F(x)
=
{f1(x),f2(x)
…
f
C
(x)}
进行扰动处理,得到防御后的置信度分布向量
g(x)
;其中,
f
i
(x)
表示测试样本
x
属于第
i
个预设类别的概率;
C
表示预设类别的总数;若
f
max
(x)∈(0.85,1)
,则
T
=
randbetween[1,50]
;
f
max
(x)
=
max{f1(x),f2(x)
…
f
C
(x)}
;若
f
max
(x)∈(0.4,0.85]
,则
T
=
randbetween(0.01,1)
;若
f
max
(x)∈(0,0.4]
,则
T
=
randbetween[0.001,0.01]。5.
一种基于暗知识保护的模型功能窃取防御装置,其特征在于,包括:接收模块,用于接收用户发送的测试样本;处理模块,用于利用待保护的目标分类模型对所述测试样本进行处理,得到所述测试样本的初始置信度分布向量...
【专利技术属性】
技术研发人员:李欣,张郅,袁得嵛,孙海春,罗婷,
申请(专利权)人:中国人民公安大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。