一种基于暗知识保护的模型功能窃取防御方法和装置制造方法及图纸

本发明专利技术提供了一种基于暗知识保护的模型功能窃取防御方法和装置，涉及数据安全的技术领域，包括：接收用户发送的测试样本；利用待保护的目标分类模型对测试样本进行处理，得到测试样本的初始置信度分布向量；基于分区变温调节

【技术实现步骤摘要】
一种基于暗知识保护的模型功能窃取防御方法和装置


[0001]本专利技术涉及数据安全的
，尤其是涉及一种基于暗知识保护的模型功能窃取防御方法和装置
。

技术介绍

[0002]目前，基于云的机器学习即服务
(MLaaS)
已经成为了系统开发的新范式，重塑了现有的应用开发方式
。
云端服务的应用程序接口
(API)
为用户提供了强大
、
高效和便捷的深度学习功能，推动了人工智能在各个领域的广泛应用和不断进步
。
用户可以根据自身需求选择调用符合条件的
API
，通常只需要支付一些金钱成本，即可快速获取先进的深度学习服务支持，无需从头开始构建和训练自己的模型
。
[0003]模型功能窃取是指攻击者针对给定受害模型，在黑盒场景下查询深度学习模型，训练出具有相同功能的盗版模型或替代模型的过程，对模型安全产生了巨大威胁
。
恶意攻击者利用机器学习即服务标记足够多的数据之后，可能尝试窃取攻击神经网络模型，以逃避大量使用云端服务产生的费用
。
此外，模型窃取攻击极大程度上增加了云端受害模型遭受攻击的可能性，使得原本难以进行的黑盒攻击变为白盒攻击
。
[0004]目前已经提出了多种用于防御模型功能窃取的方法，较为有效的是隐藏部分后验概率和对后验概率进行扰动
。
隐藏部分后验概率的防御方法并不能绝对降低盗版模型的性能，并且有时反而会增加盗版模型的准确性
。
对后验概率进行扰动的方法，是在后验概率上引入一定的扰动，但这种方法改变了置信度的分布，可能会导致输出置信度最大值的类别发生改变，牺牲原始任务中受害模型的性能
。
上述保证模型机密性的防御方法都无法起到较好的效果
。

技术实现思路

[0005]本专利技术的目的在于提供一种基于暗知识保护的模型功能窃取防御方法和装置，以有效地防御盗版模型对目标分类模型的功能窃取，保障目标分类模型的机密性
。
[0006]第一方面，本专利技术提供一种基于暗知识保护的模型功能窃取防御方法，包括：接收用户发送的测试样本；利用待保护的目标分类模型对所述测试样本进行处理，得到所述测试样本的初始置信度分布向量；其中，所述初始置信度分布向量用于表征所述测试样本属于各个预设类别的概率；基于分区变温调节
softmax
机制对所述初始置信度分布向量进行扰动处理，得到防御后的置信度分布向量；其中，所述初始置信度分布向量中的置信度最大值越大，所述分区变温调节
softmax
机制中温度系数的取值越大
。
[0007]在可选的实施方式中，所述初始置信度分布向量中的置信度最大值所属的范围分区与所述分区变温调节
softmax
机制中温度系数的取值区间存在预设对应关系
。
[0008]在可选的实施方式中，置信度最大值的范围分区的数量至少为3个
。
[0009]在可选的实施方式中，基于分区变温调节
softmax
机制对所述初始置信度分布向
量进行扰动处理，得到防御后的置信度分布向量，包括：利用算式对初始置信度分布向量
F(x)
＝
{f1(x),f2(x)
…
f
C
(x)}
进行扰动处理，得到防御后的置信度分布向量
g(x)
；其中，
f
i
(x)
表示测试样本
x
属于第
i
个预设类别的概率；
C
表示预设类别的总数；若
f
max
(x)∈(0.85,1)
，则
T
＝
randbetween[1,50]；
f
max
(x)
＝
max{f1(x),f2(x)
…
f
C
(x)}
；若
f
max
(x)∈(0.4,0.85]，则
T
＝
randbetween(0.01,1)
；若
f
max
(x)∈(0,0.4]，则
T
＝
randbetween[0.001,0.01]。
[0010]第二方面，本专利技术提供一种基于暗知识保护的模型功能窃取防御装置，包括：接收模块，用于接收用户发送的测试样本；处理模块，用于利用待保护的目标分类模型对所述测试样本进行处理，得到所述测试样本的初始置信度分布向量；其中，所述初始置信度分布向量用于表征所述测试样本属于各个预设类别的概率；扰动模块，用于基于分区变温调节
softmax
机制对所述初始置信度分布向量进行扰动处理，得到防御后的置信度分布向量；其中，所述初始置信度分布向量中的置信度最大值越大，所述分区变温调节
softmax
机制中温度系数的取值越大
。
[0011]在可选的实施方式中，所述初始置信度分布向量中的置信度最大值所属的范围分区与所述分区变温调节
softmax
机制中温度系数的取值区间存在预设对应关系
。
[0012]在可选的实施方式中，置信度最大值的范围分区的数量至少为3个
。
[0013]在可选的实施方式中，所述扰动模块具体用于：利用算式对初始置信度分布向量
F(x)
＝
{f1(x),f2(x)
…
f
C
(x)}
进行扰动处理，得到防御后的置信度分布向量
g(x)
；其中，
f
i
(x)
表示测试样本
x
属于第
i
个预设类别的概率；
C
表示预设类别的总数；若
f
max
(x)∈(0.85,1)
，则
T
＝
randbetween[1,50]；
f
max
(x)
＝
max{f1(x),f2(x)
…
f
C
(x)}
；若
f
max
(x)∈(0.4,0.85]，则
T
＝
randbetween(0.01,1)
；若
f
max
(x)∈(0,0.4]，则
T
＝
randbetween[0.001,0.01]。
[0014]第三方面，本专利技术提供一种电子设备，包括存储器
、
处理器，所述存储器上存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现前述实施方式中任一项所述的基于暗知本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于暗知识保护的模型功能窃取防御方法，其特征在于，包括：接收用户发送的测试样本；利用待保护的目标分类模型对所述测试样本进行处理，得到所述测试样本的初始置信度分布向量；其中，所述初始置信度分布向量用于表征所述测试样本属于各个预设类别的概率；基于分区变温调节
softmax
机制对所述初始置信度分布向量进行扰动处理，得到防御后的置信度分布向量；其中，所述初始置信度分布向量中的置信度最大值越大，所述分区变温调节
softmax
机制中温度系数的取值越大
。2.
根据权利要求1所述的基于暗知识保护的模型功能窃取防御方法，其特征在于，所述初始置信度分布向量中的置信度最大值所属的范围分区与所述分区变温调节
softmax
机制中温度系数的取值区间存在预设对应关系
。3.
根据权利要求2所述的基于暗知识保护的模型功能窃取防御方法，其特征在于，置信度最大值的范围分区的数量至少为3个
。4.
根据权利要求1所述的基于暗知识保护的模型功能窃取防御方法，其特征在于，基于分区变温调节
softmax
机制对所述初始置信度分布向量进行扰动处理，得到防御后的置信度分布向量，包括：利用算式对初始置信度分布向量
F(x)
＝
{f1(x),f2(x)
…
f
C
(x)}
进行扰动处理，得到防御后的置信度分布向量
g(x)
；其中，
f
i
(x)
表示测试样本
x
属于第
i
个预设类别的概率；
C
表示预设类别的总数；若
f
max
(x)∈(0.85,1)
，则
T
＝
randbetween[1,50]
；
f
max
(x)
＝
max{f1(x),f2(x)
…
f
C
(x)}
；若
f
max
(x)∈(0.4,0.85]
，则
T
＝
randbetween(0.01,1)
；若
f
max
(x)∈(0,0.4]
，则
T
＝
randbetween[0.001,0.01]。5.
一种基于暗知识保护的模型功能窃取防御装置，其特征在于，包括：接收模块，用于接收用户发送的测试样本；处理模块，用于利用待保护的目标分类模型对所述测试样本进行处理，得到所述测试样本的初始置信度分布向量...

【专利技术属性】
技术研发人员：李欣，张郅，袁得嵛，孙海春，罗婷，
申请(专利权)人：中国人民公安大学，
类型：发明
国别省市：