Page 421 - 《软件学报》2025年第10期

P. 421

4818 软件学报 2025 年第 36 卷第 10 期

练目标则是通过最小化其与目标模型输出的熵差异来逼近目标模型的行为. 因此, 模型窃取过程中生成器和代替
模型的总体目标为:

[ ( ) ]
θ
minmaxE x∼G H F (x) − H (F t (x)) (4)
s
F θ s G
其中, H 为熵计算公式, 在图像分类任务中为交叉熵公式.
为了完成模型窃取之后的攻击, 经过模型窃取阶段后, 接下来是攻击阶段. 在模型窃取阶段中, VFDA 方法已
经获取到一个与目标模型 F t (·) 相似的代替模型 F s (·), 因此接下来可以利用对抗样本的可迁移性进行攻击. 在攻击
X adv , 并期待生成的对抗样本能够最大程度地同样攻击成功目标
阶段中, 我们基于代替模型 F s (·) 来生成对抗样本
模型. 攻击阶段的目标如下:

maxF t (X adv ) , Y true , s.t. ∥ X adv − X ori ∥ p ⩽ ϵ (5)
其中, X ori 为对抗样本对应的原始样本, Y true 为原始样本对应的真实标签, ∥·∥ p 为计算对抗样本与原始样本差异的
p 范数, 即对抗样本扰动量的约束. ϵ 为对抗样本最大扰动量的限制.
因此, 基于上述两个阶段, F s (·) 可以以无数据的方式模仿 F t (·) 之后, 我们通过攻击 F s (·) 来产生对抗样本, 然
后利用这些对抗样本的可迁移性来成功攻击. 值得注意的是, 代替模型 F s (·) 与目标模型 F t (·) 越相似, 即模型窃取
的有效性越高, 对抗样本的可迁移性也就越高, 迁移攻击的成功率也就越高.
2.2 视觉特征解耦的查询样本生成
如上所述, 由于我们使用生成的查询样本作为代替模型的训练数据集, 而不是使用真实数据, X query 应该具有
与真实数据相似的类间多样性, 同时兼具提高模型窃取有效性的类内多样性. 关于这一点, VFDA 首先使用一个编
码器 Enc(·), 以高斯噪声作为输入并输出与查询样本维度相等的编码向量 . 然后, VFDA 将编码向量分别输入 3
V
个解码器并分别生成查询样本的纹理信息、平滑信息和纹理信息的位置信息, 这个过程如图 2 的第 1 部分所示.
由于神经网络分类的类间决策依赖于图像的纹理信息, 我们使用解码器 Dec texture (·) 和 Dec mask (·) 来生成查询样
本的纹理信息 X texture . 其中, X texture 由 Dec texture (·) 生成的纹理矩阵 M texture = Dec texture (V), 以及 Dec mask (·) 生成的纹理信
息所在区域的掩码矩阵 M mask 计算组成. 纹理掩码矩阵 M texture 的计算方式为:
mask
{
1, if n in M mask > 0.5
M texture = (6)
mask 0, if n in M mask < 0.5
其中, n 为 Dec mask (V) 输出矩阵中一个元素的值. VFDA 方法生成查询样本的纹理信息的过程为:

X texture = M texture × M texture , s.t.
M mask
< δ (7)

texture
mask
0
其中, × 为矩阵的哈达玛积, ∥·∥ 0 为求矩阵的 0 范数, δ 为控制纹理稀疏性的超参数.
因此, 在 VFDA 方法中查询样本的纹理信息部分是由纹理矩阵以及纹理掩码矩阵共 Dec smooth (·) 同组成的, 纹
V 阵负责生成纹理信息的所在位置, 并同时考虑了纹理信
理矩阵负责生成纹理信息的像素值的大小, 纹理掩码矩
息应具有一定的稀疏性.
其次, 为了生成更加具有类内多样性的样本, VFDA 还需利用解码器 Dec smooth (·) 来生成查询样本的平滑信息
.
X smooth X smooth 同样包含平滑矩阵 M smooth 和平滑掩码 M smooth . 平滑矩阵是由解码器 Dec smooth (·) 接收编码向量作为输
mask
入, 并生成查询样本的平滑矩阵 M smooth , 之后, 我们对平滑矩阵进行双边滤波, 以消除其中包含的纹理信息. M smooth
同样需要位置编码, 我们对 Dec mask (·) 解码器生成的纹理信息位置编码 M texture 进行取反, 得到平滑信息的位置编码
mask
M smooth . 即, M smooth =∼ M texture . VFDA X smooth 的过程为:
mask mask mask 方法生成查询样本平滑信息
X smooth = G(M smooth )× M smooth , where M smooth =∼ M texture (8)
mask mask mask
其中, 符号~表示按位取反操作, G(·) 为双边滤波函数.
得到由 3 个解码器生成构造的纹理信息 X texture 和平滑信息 X smooth 后, 由于纹理信息和平滑信息的位置编码互
补, 因此我们将其直接相加便能得到我们的查询样本 X query . 即:

(9)
X query = X texture + X smooth

416 417 418 419 420 421 422 423 424 425 426