软件学报 ISSN 1000-9825, CODEN RUXUEW                                        E-mail: jos@iscas.ac.cn
                 2025,36(10):4812−4826 [doi: 10.13328/j.cnki.jos.007310] [CSTR: 32375.14.jos.007310]  http://www.jos.org.cn
                 ©中国科学院软件研究所版权所有.                                                          Tel: +86-10-62562563



                                                                               *
                 基于视觉特征解耦的无数据依赖模型窃取攻击方法

                 张锦弘  1 ,    刘仁阳  1 ,    韦廷楚  2 ,    董云云  3,4 ,    周    维  3,4


                 1
                  (云南大学 信息学院, 云南 昆明 650500)
                 2
                  (云南大学 国际河流与生态安全研究院, 云南 昆明 650500)
                 3
                  (云南大学 软件学院, 云南 昆明 650500)
                 4
                  (云南大学 跨境网络空间安全工程研究中心, 云南 昆明 650500)
                 通信作者: 周维, E-mail: zwei@ynu.edu.cn
                 摘 要: 随着深度学习模型安全性和隐私性研究的不断深入, 研究者发现模型窃取攻击能够对神经网络产生极大
                 的威胁. 典型的数据依赖模型窃取攻击可以利用一定比例的真实数据查询目标模型, 在本地训练一个替代模型, 从
                 而达到目标模型窃取的目的. 2020        年以来, 一种新颖的无数据依赖模型窃取攻击方法被提出, 仅使用生成模型生成
                 伪造的查询样本便能对深度神经网络开展窃取和攻击. 由于不依赖于真实数据, 无数据依赖模型窃取攻击具有更
                 严重的破坏力. 然而, 目前的无数据依赖模型窃取攻击方法所构造查询样本的多样性和有效性不足, 存在模型窃取
                 过程中查询次数大、攻击成功率较低的问题. 因此提出一种基于视觉特征解耦的无数据依赖模型窃取攻击方法
                 VFDA (vision feature decoupling-based model stealing attack), 该方法通过利用多解码器结构对无数据依赖模型窃取
                 过程中生成的查询样本的视觉特征进行解耦与生成, 从而提高查询样本的多样性和模型窃取的有效性. 具体来说,
                 VFDA  利用  3  个解码器分别生成查询样本的纹理信息、区域编码和平滑信息, 完成查询样本的视觉特征解耦. 其
                 次, 为了使生成的查询样本更加符合真实样本的视觉特征, 通过限制纹理信息的稀疏性以及对生成的平滑信息进
                 行滤波. VFDA   利用了神经网络的表征倾向依赖于图像纹理特征的性质, 能够生成类间多样性的查询样本, 从而有
                 效提高了模型窃取的相似性以及攻击成功率. 此外, VFDA                 对解耦生成的查询样本平滑信息添加了类内多样性损
                 失, 使查询样本更加符合真实样本的分布. 通过与多个模型窃取攻击方法对比, VFDA                        方法在模型窃取的相似性以
                 及攻击的成功率上具有更好的表现. 特别在分辨率较高的                   GTSRB  和  Tiny-ImageNet 数据集上, 相比于目前较好的
                 EBFA  方法, 在攻击成功率上     VFDA  方法平均提高了      3.86%  和  4.15%.
                 关键词: 模型窃取; 对抗样本; 迁移攻击; 生成模型; 模型隐私
                 中图法分类号: TP309

                 中文引用格式: 张锦弘,  刘仁阳,  韦廷楚,  董云云,  周维.  基于视觉特征解耦的无数据依赖模型窃取攻击方法.  软件学报,  2025,
                 36(10): 4812–4826. http://www.jos.org.cn/1000-9825/7310.htm
                 英文引用格式: Zhang JH, Liu RY, Wei TC, Dong YY, Zhou W. Data-free Model Stealing Attack Method Based on Visual Feature
                 Decoupling. Ruan Jian Xue Bao/Journal of Software, 2025, 36(10): 4812–4826 (in Chinese). http://www.jos.org.cn/1000-9825/7310.
                 htm

                 Data-free Model Stealing Attack Method Based on Visual Feature Decoupling
                                          1
                              1
                                                                     3,4
                                                       2
                 ZHANG Jin-Hong , LIU Ren-Yang , WEI Ting-Chu , DONG Yun-Yun , ZHOU Wei 3,4
                 1
                 (School of Information Science and Engineering, Yunnan University, Kunming 650500, China)
                 2
                 (Institute of International Rivers and Eco-security, Yunnan University, Kunming 650500, China)


                 *    基金项目: 国家自然科学基金  (62162067, 62101480); 云南省院士专家工作站项目  (202205AF150145)
                  收稿时间: 2023-06-27; 修改时间: 2024-01-11, 2024-07-18, 2024-10-07; 采用时间: 2024-10-31; jos 在线出版时间: 2025-03-12
                  CNKI 网络首发时间: 2025-03-13