Page 424 - 《软件学报》2025年第10期
P. 424
张锦弘 等: 基于视觉特征解耦的无数据依赖模型窃取攻击方法 4821
对在线模型进行 (1–10) 个 Epoch 查询下窃取的结果, 两个数据集属于不同类型且数据集之间无交叉. 所有的对抗
样本生成方法统一为 BIM. ACC 是指窃取到的代替模型的识别准确率, ASR 是指攻击成功率. 可以看出, 在模型窃
取迁移攻击的实验中, 前 6 个 Epoch 的查询中 VFDA 在识别准确率和攻击成功率上均具有明显的优势. 在更加实
际的对在线模型进行迁移窃取场景中, VFDA 具有更高的效率.
表 1 CIFAR-10 和 CIFAR-100 数据集上模型窃取攻击成功率 (%)
Soft label Hard label
Datasets Methods
FGSM BIM PGD FGSM BIM PGD
Del 26.38 31.53 31.47 25.33 30.45 30.34
MAZE 53.26 59.11 52.48 - - -
CIFAR-10 Fe-DaST 63.99 64.16 64.36 65.98 63.76 68.25
EBFA 83.89 87.68 89.11 86.13 87.02 84.32
VFDA 85.34 93.19 85.41 83.66 90.06 86.73
Del 31.64 36.63 37.44 30.8 35.63 36.15
MAZE 47.37 50.27 46.36 - - -
CIFAR-100
Fe-DaST 65.81 65.77 67.74 66.33 65.91 67.94
EBFA 83.69 94.53 94.14 78.61 85.31 81.21
VFDA 84.58 92.64 90.19 81.43 90.51 86.61
表 2 GTSRB 和 Tiny-ImageNet 数据集上模型窃取攻击成功率 (%)
Soft label Hard label
Datasets Methods
FGSM BIM PGD FGSM BIM PGD
Del 31.43 36.26 33.87 30.8 34.14 32.45
MAZE 46.58 54.75 46.84 - - -
GTSRB Fe-DaST 67.55 74.3 72.95 67.7 70.86 68.87
EBFA 75.19 79.94 80.16 78.61 80.93 89.3
VFDA 84.22 87.39 85.98 82.04 85.73 81.93
Del 34.28 38.49 36.72 28.31 32.54 29.73
MAZE - - - - - -
Tiny-ImageNet Fe-DaST 72.83 76.5 75.45 70.82 73.16 72.83
EBFA 80.26 85.32 78.29 78.29 81.12 78.23
VFDA 85.02 85.66 80.62 83.73 89.21 83.14
表 3 Microsoft Azure 在线模型窃取攻击实验结果 (%)
Transfer
Method Metrics Valina
1 2 3 4 5 6 7 8 9 10
ACC 90.62 9.96 16.31 24.61 32.42 39.75 56.54 64.84 75.59 81.64 87.11
EBFA
ASR 97.34 0.89 1.38 5.13 12.18 26.57 51.18 75.39 85.4 91.74 96.06
ACC 91.99 9.96 22.46 33.69 45.51 59.28 67.58 65.14 79.69 83.59 86.04
VFDA
ASR 97.46 0.59 9.72 16.99 28.8 44.38 62.44 74.83 88.67 93.79 96.55
3.3.3 模型窃取攻击效率评估
为了证明我们所提出的 VFDA 方法利用 3 个解码器生成的查询样本在模型窃取阶段中的有效性, 并证明
VFDA 方法的高效, 我们对比了 VFDA 方法与目前最先进的无数据的模型窃取攻击方法 EBFA 在模型窃取过程
中的模型识别准确率 (ACC) 和攻击成功率 (ASR), 如图 3 所示, 其中, 红色是我们的方法在模型窃取过程中的折线
图, 蓝色是 EBFA 方法在模型窃取过程中的折线图. 纵坐标为窃取查询的次数, 每次表示一个 BatchSize 的查询.
图 3(a) 表示在模型窃取过程中, 使用真实数据集的测试集对代替模型进行测试得到的识别准确率, 这表示着代替
模型窃取目标黑盒模型行为模式的有效性. 图 3(b) 是在模型窃取阶段 VFDA 和 EBFA 的攻击成功率对比. 可以看
