Page 420 - 《软件学报》2025年第10期

P. 420

张锦弘等: 基于视觉特征解耦的无数据依赖模型窃取攻击方法 4817

向量的类间多样性损失从而提高查询样本的多样性和模型窃取的有效性.

2 VFDA 基于视觉特征解耦的无数据依赖模型窃取攻击方法

在本文中, 我们提出的无数据依赖模型窃取攻击方法包含 3 个部分: 1) 使用生成模型生成查询样本. 2) 使用
查询样本对目标黑盒模型进行模型窃取. 3) 基于提取到的代替模型生成对抗样本并利用对抗样本的可迁移性攻击
目标黑盒模型. 本文所提出的基于视觉特征解耦的无数据依赖模型窃取攻击方法如图 2 所示.

① 查询样本生成过程 ② 模型窃取过程
查询样本生成模型  G

裁剪
纹理解码器纹理矩阵 M texture
Dec texture
代替模型  s
取反  kd
掩码解码器量化纹理掩码平滑掩码查询样本
编码器 Enc
texture
smooth
采样噪声 z Dec mask M mask M mask X query
编码向量 v
滤波
平滑解码器裁剪平滑矩阵平滑信息目标模型  t
Dec smooth
M smooth
图 2 基于视觉特征解耦的模型窃取攻击方法总体框架图

2.1 问题描述
在 VFDA 无数据依赖模型窃取攻击方法的模型窃取阶段中, 有两个步骤: 1) 查询样本的生成, 2) 使用查询样
本作为输入进行模型窃取. 对于步骤 1), 我们使用一个编码器 Enc(·) 对采样噪声 z ∈ N(0,1) 进行编码, 并将编码后
得到的编码向量 V 送入 3 个不同的解码器 Dec texture (·)、 Dec mask (·) 和 Dec smooth (·), 分别生成查询样本的纹理信息、
位置掩码和平滑信息. 之后, 对 3 个解码器的输出进行融合来构造查询样本 X query . 在步骤 2) 中, 我们将步骤 1) 中

生成的 X query 输入到代替模型 F s (·) 和目标模型 F t (·) 中, 使它们的输出差值最小, 从而使替代模型学习目标模型的
行为模式, 提高两者的相似性. 模型窃取阶段的目标为:

( )
θ
minD F (X query ),F t (X query ) (2)
θ s
其中, θ 为代替模型的参数. D 为距离损失, 在本文中, 对于目标模型仅输出硬标签的情况, 我们使用交叉熵损失,
在目标模型能够输出 Logit 向量的情况, 我们使用 2 范数距离损失.
模型窃取阶段即为代替模型的训练阶段, 其训练样本为查询样本, 标签为查询目标模型返回的标签. 由此可
见, 为了使代替模型更好地完成训练并模仿目标模型的决策输出, 查询样本的质量是关键因素. 即: 生成器生成的
查询样本需要具有类间多样性和类内多样性. 最优查询样本的目标为:

 len( X query) len( X query) 
( )

 C ∑
 ∑ ∑ 
 
 len X query i j 
j
min  1 [ F t( X query) =i] − − 1 [ F t( X i query) =F t( X query)] × X − X (3)

 C query query 
 
 
i=0 i j
其中, len(X query ) 为查询样本的总数量, C 为目标模型分类类别数量, 1 为指示函数, |·| 为绝对值计算. 在公式 (3) 中,
第 1 项为查询样本类间多样性的优化目标, 即查询样本被目标模型分类的每一类别的样本分布数量应该是均衡
的. 第 2 项为类内多样性的优化目标, 即同属于一个类别的查询样本之间应当具有一定的差异性. 因此, 最小化上
述的目标, 生成的查询样本便能兼顾类间多样性和类内多样性, 更加符合真实样本的分布, 有利于代替模型的训
练, 提高模型窃取的有效性.
因此, 在无数据模型窃取过程中, 生成器与替代模型的训练可视为一个最大最小化的对抗博弈过程. 生成器的
优化目标是通过最大化查询样本在替代模型和目标模型预测输出的熵来提升查询样本的有效性, 而替代模型的训

415 416 417 418 419 420 421 422 423 424 425