【技术实现步骤摘要】
本专利技术属于机器学习安全,公开了一种基于输入输出不对等的图像分类模型防窃取方法。
技术介绍
1、在过去的几年里,机器学习和深度学习技术取得了巨大的进展,人工智能场景得以广泛应用,尤其是在计算机视觉、语音识别和自然语言处理等领域大放异彩。机器学习即服务的概念随之被提出,很多企业利用机器学习或者深度学习技术,以及高昂的资源训练可用的模型,然后将模型部署到云平台。为了填补模型构建的花销和获取市场利益,企业会给模型系统设计用户编程接口(api),然后供用户使用,提供相应的服务。然而,现在这种将模型部署在云平台的模型已经在理论和实践上被证明可能会存在被窃取的风险,攻击者只需要向目标私有模型发起大量请求,获取模型的输出结果,就可以在本地训练出一个与目标私有模型在功能上一致的替代模型,然后逃避缴纳费用直接利用替代模型实现模型功能,更加严重的情况是,攻击者利还可以用这个替代模型生成具有更强迁移能力的对抗样本,将黑盒攻击转换为白盒攻击,严重损害了目标私有模型所有者的知识产权,侵犯了企业和用户的隐私信息。因此,研究基于查询的模型窃取攻击检测和防御方法具有非常重要的意义。
2、随着人工智能的快速发展,机器学习或者深度学习模型的安全问题也是一个被热议的话题,汲取传统网络部分架构在设计时没有考虑安全风险而带来损失的教训。当前针对图像分类模型的模型窃取攻击已经出现了一些防御的技术,但是面对不同的场景,部分技术已经渐渐的出现了一些弊端,主要体现在以下几点:
3、1)一些主动防御无差别的防御所有的用户请求查询,影响正常用户的使用体验;
4、2)应用不广泛,有部分模型防窃取技术是在模型中加入水印,然后检测对手的模型是否存在类似水印,以保护模型的知识产权。但是现在很多攻击者窃取到模型之后,并没有发布,而是私下使用或者研究,这就无法实现模型窃取的水印保护措施;
5、3)效果不佳,随着攻击者的技术快速发展,一些尝试向模型输出信息中加入干扰的防御方式可能会被检测出来,而且仅仅加入微小的扰动很难影响目标私有模型对原始图像预测结果中的大量信息。
技术实现思路
1、为了解决现有技术中导致的上述防御措施影响正常使用、防御手段应用不广泛和防御效果不佳等缺陷,本专利技术提供了一种基于输入输出不对等的图像分类模型防窃取方法,该方法可以主动防御攻击者窃取原始图像对于私有模型的预测信息,实现了输入图像和输出信息的不对等,此外为了保证正常用户的高质量服务体验。
2、为了达到上述目的,本专利技术是通过以下技术方案实现的:
3、本专利技术是一种基于输入输出不对等的图像分类模型防窃取方法,包括如下步骤:
4、步骤1)使用数据增强技术扩充私有模型训练数据集;
5、步骤2)使用带有增强图像的数据集训练私有模型,并部署私有模型;
6、步骤3)接收用户输入的图像;
7、步骤4)使用规则判断是否存在被窃取风险,如果需要进入步骤5),否则直接进入步骤6);
8、步骤5)使用数据增强技术处理用户输入的图像;
9、步骤6)使用私有模型预测图像的类别,并输出预测结果信息。
10、本专利技术的进一步改进在于:所述步骤1)中使用数据增强技术扩充私有模型训练数据集包括如下步骤:
11、步骤11)按私有模型可预测的类别,分别从数据集中采集一部分;
12、步骤12)对采集的所有图像进行增强,以扩充训练集。
13、本专利技术的进一步改进在于:步骤12)中的图像增强包括如下步骤:
14、随机打乱采集的图像并进行加载;
15、使用高斯模糊、随机旋转、水平翻转等技术处理图像,高斯模糊是基于卷积运算和高斯函数的特性,通过将图像中的每个像素点与高斯函数进行卷积运算,从而使图像达到模糊的效果,随机旋转通过将图像以随机角度进行旋转,水平翻转就是将图像进行左右翻转;
16、保存每张图像的增强图像,并合并到私有模型的训练数据集中。
17、本专利技术的进一步改进在于:所述步骤2)中私有模型训练包括如下步骤:
18、步骤21)定义私有模型的卷积网络结构;
19、步骤22)将带有增强图像的图像数据集按照8:2的比例分为两个部分,分别作为训练数据集和测试数据集,加载训练数据集,设置批量大小、是否打乱等参数;
20、步骤23)设置学习率、动量、优化器等私有模型训练的参数,初始化网络结构;
21、步骤24)定义训练迭代次数,开始训练私有模型;
22、步骤25)使用交叉熵损失函数计算私有模型训练过程中输出和标签值的差异,并反向传播更新私有模型;
23、步骤26)训练完成,使用预测准确率和召回率两个指标在测试数据集上测试训练好的模型的图像分类效果。
24、本专利技术的进一步改进在于:所述步骤3)中接收用户图像包括如下步骤:
25、步骤31)接收用户查询的图像;
26、步骤32)将图像的尺寸大小统一成模型可接受的尺寸。
27、本专利技术的进一步改进在于:所述步骤4)中使用规则判断是否需要处理输入图像,如果需要进入步骤5),否则直接进入步骤6)包括如下步骤:
28、步骤41)系统应用之前先设定一些对可疑用户判断的规则;
29、步骤42)设置白名单,对于绝对可信的用户,则不使用防御机制,对于图像查询,直接进行模型分类;
30、步骤43)收集已知攻击者,设置黑名单,对于此类已经缴纳了查询费用的人员,也应当提供应用服务,对于图像查询,先处理图像,然后再进行预测;
31、步骤44)非白名单和黑名单用户在查询2次之后,默认使用一次图像处理机制,使得用户图像和用户得到的输出不对等,以达到主动防御的效果。这个输出虽然不对等,但是输出的结果相对于原图像是一致的,不会影响用户的正常使用;
32、步骤45)建立一个数据库,统计用户在一段时间内查询的次数,以及模型预测的最终结果的分布情况,如果查询次数比较多,预测最终结果分布的比较均匀,可以初步判定为可疑行为,在接下来的查询中均对输入的图像进行处理;
33、步骤46)根据查询的时间、查询ip判断查询行为是否是可疑行为,可疑的ip来源、不合理的时间段进行了大量的图像查询,则在图像预测前,先对图像进行一个处理,然后再进行图像预测。
34、本专利技术的进一步改进在于:所述步骤5)中使用数据增强技术处理用户输入的图像包括如下步骤:
35、对于可疑行为传入的图像或者是默认需要处理的图像,随机使用高斯模糊、随机旋转或者水平翻转中的一种技术处理,操作中的参数应当与私有模型训练数据集扩充时使用的参数一致,以保证模型的预测正确性。
36、本专利技术的进一步改进在于:所述步骤6)中使用私有模型预测图像的类别,并输出预测结果信息包括如下步骤:
37、步骤61)图像进入模型的输入层;
38、步骤6本文档来自技高网...
【技术保护点】
1.一种基于输入输出不对等的图像分类模型防窃取方法,其特征在于:所述图像分类模型防窃取方法包括如下步骤:
2.根据权利要求1所述的一种基于输入输出不对等的图像分类模型防窃取方法,其特征在于:所述步骤1中使用数据增强技术扩充私有模型训练数据集具体包括如下步骤:
3.根据权利要求2所述的一种基于输入输出不对等的图像分类模型防窃取方法,其特征在于:所述步骤12中对采集的所有图像进行增强具体包括如下步骤:
4.根据权利要求1所述的一种基于输入输出不对等的图像分类模型防窃取方法,其特征在于:所述步骤2中使用带有增强图像的数据集训练私有模型具体包括如下步骤:
5.根据权利要求1所述的一种基于输入输出不对等的图像分类模型防窃取方法,其特征在于:所述步骤3中接收用户图像包括如下步骤:
6.根据权利要求1所述的一种基于输入输出不对等的图像分类模型防窃取方法,其特征在于:所述步骤4中使用规则判断是否存在被窃取风险,如果需要进入步骤5,否则直接进入步骤6,具体包括如下步骤:
7.根据权利要求1所述的一种基于输入输出不对等的图像分类
8.根据权利要求1所述的一种基于输入输出不对等的图像分类模型防窃取方法,其特征在于:所述步骤6中使用私有模型预测图像的类别,并输出预测结果信息,具体包括如下步骤:
...【技术特征摘要】
1.一种基于输入输出不对等的图像分类模型防窃取方法,其特征在于:所述图像分类模型防窃取方法包括如下步骤:
2.根据权利要求1所述的一种基于输入输出不对等的图像分类模型防窃取方法,其特征在于:所述步骤1中使用数据增强技术扩充私有模型训练数据集具体包括如下步骤:
3.根据权利要求2所述的一种基于输入输出不对等的图像分类模型防窃取方法,其特征在于:所述步骤12中对采集的所有图像进行增强具体包括如下步骤:
4.根据权利要求1所述的一种基于输入输出不对等的图像分类模型防窃取方法,其特征在于:所述步骤2中使用带有增强图像的数据集训练私有模型具体包括如下步骤:
5.根据权利要求1所述的一种基于输入输出不对等的图像分类模型防窃取方法,其特征在于:所述步骤3中接收用户图像包括如下...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。