针对深度神经网络模型指纹检测的逃避算法

作     者：钱亚冠 何念念 郭艳凯 王滨 李晖 顾钊铨 张旭鸿 吴春明 Qian Yaguan;He Niannian;Guo Yankai;Wang Bin;Li Hui;Gu Zhaoquan;Zhang Xuhong;Wu Chunming

作者机构：浙江科技学院大数据学院杭州310023 海康威视&浙江科技学院边缘智能安全联合实验室杭州310023 西安电子科技大学网络与信息安全学院西安710071 广州大学网络空间先进技术研究院广州510006 浙江大学控制科学与工程学院杭州310058 浙江大学计算机科学与技术学院杭州310058 

基　　金：国家重点研发计划项目(2018YFB2100400,2018YFB1800601) 国家自然科学基金项目(61902082) 浙江省重点研发计划项目(2020C01077,2021C01036,2020C01021) 之江实验室科技预研项目(2018FD0ZX01) 

出 版 物：《计算机研究与发展》 (Journal of Computer Research and Development)

年 卷 期：2021年第58卷第5期

页      码：1106-1117页

摘      要：随着深度神经网络在不同领域的成功应用,模型的知识产权保护成为了一个备受关注的问题.由于深度神经网络的训练需要大量计算资源、人力成本和时间成本,攻击者通过窃取目标模型参数,可低成本地构建本地替代模型.为保护模型所有者的知识产权,最近提出的模型指纹比对方法,利用模型决策边界附近的指纹样本及其指纹查验模型是否被窃取,具有不影响模型自身性能的优点.针对这类基于模型指纹的保护策略,提出了一种逃避算法,可以成功绕开这类保护策略,揭示了模型指纹保护的脆弱性.该逃避算法的核心是设计了一个指纹样本检测器——Fingerprint-GAN.利用生成对抗网络(generative adversarial network,GAN)原理,学习正常样本在隐空间的特征表示及其分布,根据指纹样本与正常样本在隐空间中特征表示的差异性,检测到指纹样本,并向目标模型所有者返回有别于预测的标签,使模型所有者的指纹比对方法失效.最后通过CIFAR-10,CIFAR-100数据集评估了逃避算法的性能,实验结果表明:算法对指纹样本的检测率分别可达95%和94%,而模型所有者的指纹比对成功率最高仅为19%,证明了模型指纹比对保护方法的不可靠性.

主 题 词：知识产权保护 模型窃取 模型指纹 生成对抗网络 逃避算法 

学科分类：0839[0839] 08[工学] 081201[081201] 0812[工学-测绘类] 

核心收录：

D　O　I：10.7544/issn1000-1239.2021.20200903

馆 藏 号：203103148...