[发明专利]一种基于特征失真指数的模型窃取防御方法及装置在审
| 申请号: | 202211524887.5 | 申请日: | 2022-11-30 |
| 公开(公告)号: | CN115859102A | 公开(公告)日: | 2023-03-28 |
| 发明(设计)人: | 姚宏伟;任奎;秦湛;王志波;屠春来;牛文杰 | 申请(专利权)人: | 浙江大学嘉兴研究院 |
| 主分类号: | G06F18/214 | 分类号: | G06F18/214;G06N3/08;G06N3/0464 |
| 代理公司: | 杭州求是专利事务所有限公司 33200 | 代理人: | 邱启旺 |
| 地址: | 314031 浙江*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 特征 失真 指数 模型 窃取 防御 方法 装置 | ||
1.一种基于特征失真指数的模型窃取防御方法,其特征在于,包括:
(1)从目标DNN模型中选择每个类别预测置信度最高的K个数据作为锚定样本;
(2)计算每个待检测样本和锚定样本之间的特征空间距离以得到特征失真指数,其中所述待检测样本为目标DNN模型接收到的访问数据;
(3)利用所述特征失真指数训练模型窃取攻击检测器;
(4)将训练后的模型窃取攻击检测器部署到MLaaS服务的防御方,以针对模型窃取攻击进行防御。
2.根据权利要求1所述的方法,其特征在于,在步骤(2)中,对于所述目标DNN模型FV,第L层的特征失真指数FDI计算公式为:
式中,(xc,j,c)是锚定样本DA中的样本集,c是FV的预测标签,x为待检测样本。
3.根据权利要求1所述的方法,其特征在于,步骤(3)中的所述模型窃取攻击检测器为线性分类器。
4.根据权利要求1所述的方法,其特征在于,所述模型窃取攻击检测器的输入为特征失真指数I(x;DA,FV),其中I(x;DA,FV)包含了目标网络的前n层特征失真指数,其中n小于等于所述目标DNN模型层数,输出为二分类置信度。
5.根据权利要求4所述的方法,其特征在于,所述二分类置信度通过集成投票的方法计算得到:
式中,bs表示所述勾结攻击检测器进行检测的一批样本的数量,ac的输出为(0,1.0)的置信度。
6.根据权利要求1所述的方法,其特征在于,步骤(3)还包括利用所述特征失真指数的相似性训练勾结攻击检测器,进而步骤(4)还包括将所述勾结攻击检测器布置到MLaaS服务的防御方,以针对勾结攻击进行防御。
7.根据权利要求5所述的方法,其特征在于,所述特征失真指数的相似性通过双侧假设检验进行判断。
8.一种基于特征失真指数的模型窃取防御装置,其特征在于,包括:
选择模块,用于从目标DNN模型中选择每个类别预测置信度最高的K个数据作为锚定样本;
计算模块,用于计算每个待检测样本和锚定样本之间的特征空间距离以得到特征失真指数,其中所述待检测样本为所述目标DNN模型接收到的访问数据;
训练模块,用于利用所述特征失真指数训练模型窃取攻击检测器;
部署模块,用于将训练后的模型窃取攻击检测器部署到MLaaS服务的防御方,以针对模型窃取攻击进行防御。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1-7中任一项所述方法的步骤。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于浙江大学嘉兴研究院,未经浙江大学嘉兴研究院许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202211524887.5/1.html,转载请声明来源钻瓜专利网。
