[发明专利]防止模型参数窃取的方法、装置、计算机设备及存储介质

权利要求书

1.一种防止模型参数窃取的方法，其特征在于，包括以下步骤：

S1.训练多个不同精度的蜜罐模型库：构建蜜罐模型集合，将训练集划分为多份并按序取出每份训练数据，多轮训练蜜罐模型集合的所有蜜罐模型，每一轮用测试集测试蜜罐模型的准确率，若蜜罐模型的准确率大于设定的阈值，则终止下一轮的训练；多轮迭代训练后，生成不同准确率等级的蜜罐模型；

S2.判断请求是否为攻击者发起：根据用户的访问频次以及查询样本的分布情况，计算每次请求的攻击概率，判断请求是否为攻击行为；

S3.诱导攻击者访问蜜罐模型：将不同攻击概率的请求诱导到相应精度的蜜罐模型。

2.根据权利要求1所述的一种防止模型参数窃取的方法，其特征在于，步骤S1包括以下子步骤：

S101.假定受保护的模型为f，模型的训练集为S，模型的测试集为T，模型的输出为y＝f(x)，模型f在测试集T的准确率为p；

S102.将训练集S，随机划分为k份，每份的大小为固定值，那么S＝{s₁，s₂，s₃…，s_k}；

S103.构建n个网络结构相同的蜜罐模型集合F＝{f₁，f₂，f₃…，f_n}，蜜罐模型的参数随机初始化，蜜罐模型的数量根据模型安全性的需要设置；设定不同准确率的阈值从小到大排列P＝{P₁，P₂，P₃…，P_n}，其中准确率阈值P_n需要远小于受保护模型的准确率p，使得模型窃取的精度即使接近P_n，也不会对模型所有人造成很大损失；

S104.从划分的训练集S中按序取出每份训练数据，多轮训练蜜罐模型集合F的所有蜜罐模型，每一轮用测试集T测试蜜罐模型的准确率，若蜜罐模型f_i的准确率p_i大于设定的阈值P_i，则终止下一轮的训练；多轮迭代训练后，生成符合不同准确率等级的蜜罐模型；

S105.将训练完成的蜜罐模型集合F＝{f₁，f₂，f₃…，f_n}部署到蜜罐模型库所在的服务器，并将每个蜜罐模型服务映射到不同的网络端口Port＝{port₁，port₂，port₃…，port_n}。

3.根据权利要求2所述的防止模型参数窃取的方法，其特征在于，步骤S2包括以下子步骤：

S201.从访问日志数据库中提取当前请求用户的访问信息；

S202.计算每个新样本x_i与历史样本的最小距离集合D＝{d_min(x₁)，…d_min(x_i)}；计算集合D的标准差Δ，再剔除掉集合D中大于三倍标准差Δ的样本，得到距离集合D′；

S203.根据皮罗-威尔克正态分布检验公式计算距离集合D′的正态分布检验，其中统计量W的大小反应了分布的背离程度，值越接近于1，样本分布越接近正态分布；

S204.综合用户的访问频次以及查询样本的分布，计算请求为正常用户的概率值那么可能发生的攻击p_attack＝1-pbenign；

S205.用户请求服务接口每间隔100次执行步骤S201～步骤S204。

4.根据权利要求3所述的防止模型参数窃取的方法，其特征在于，步骤S201中，提取的当前请求用户的访问信息包括：预设时间间隔内用户访问的次数，以及用户上传的历史样本。