张锦弘 等: 基于视觉特征解耦的无数据依赖模型窃取攻击方法                                                   4823



                                               9                       9                      9
                                               8                                              8
                                                                       8
                                               7                                              7
                                                                       7
                                               6                                              6
                                               5                       6                      5
                                               4                       5                      4
                                               3                                              3
                                                                       4
                                               2                                              2
                                                                       3
                                               1                                              1
                                               0                       2                      0
                              (a) 真实数据集                 (b) EBFA               (c) VFDA
                     图 4 在  CIFAR-10  数据集上, 原始数据、EBFA     生成的查询样本和       VFDA  生成的查询样本的      T-SNE  图

                  3.5   消融实验
                  3.5.1    不同生成器架构对模型窃取的影响
                    为进一步验证三解码器架构在视觉特征解耦方面的优势, 我们对比了在                        CIFAR-10  数据集上三解码器和单生
                 成器在生成查询样本时的性能表现, 特别是前               100  个批次的代替模型训练中的交叉熵和识别准确率, 结果如图                  5
                 所示. 其中, 三解码器相比单生成器编码器部分完全相同, 仅在解码器部分具有额外的两个解码器. 正如前文公式
                 (4) 所述, 在模型窃取过程中, 生成查询样本的生成器与代替模型的训练过程构成了一种对抗博弈. 生成模型的目
                 标是尽可能增大代替模型与目标模型输出之间的交叉熵, 而代替模型的训练目标则是尽量减小该交叉熵. 从图                                    5
                 可以看出, 在模型窃取初期, 三解码器能够生成具有更大交叉熵的查询样本, 从而更有效地为代替模型提供训练数
                 据. 虽然在生成样本的交叉熵均值上, 三解码器和单生成器在后期表现接近, 但三解码器在代替模型训练中的优势
                 更为显著.


                                       5.0                                       25
                                       4.5
                                                                                 20
                                       4.0
                                     交叉熵均值  3.5                                  15  代替模型识别准确率 (%)
                                       3.0
                                                                                 10
                                       2.5
                                       2.0
                                                                                 5
                                       1.5
                                                                                 0
                                            0     20     40    60     80    100
                                                       生成查询样本批次
                              三解码器交叉熵损失        单解码器交叉熵损失       三解码器识别准确率        单解码器识别准确率
                           图 5 不同生成器架构在模型窃取过程中对代替模型训练交叉熵和识别准确率的影响

                  3.5.2    类间多样性损失和类内多样性损失对查询样本信息熵和               KL  散度的分析
                    为了进一步分析类间多样性损失和类内多样性损失对查询样本交叉熵的影响, 我们对比了在有类间多样性损
                 失和无类间多样性损失的情况下, 不同类别查询样本的信息熵. 结果如图                       6  所示. 可以看出, 在引入类间多样性损
                 失时, 不同类别的查询样本对目标模型产生了更高的信息熵, 从而为代替模型的训练提供了更加有效的监督信息.
                 为了探究纹理解码器和平滑解码器对于信息熵的影响, 我们对比了在仅保留纹理解码器生成的查询样本和仅保留
                 平滑解码器生成的查询样本的信息熵. 其中, 纹理解码器的输出仅保留了稀疏的纹理掩码后的结果, 图像其余大部
                 分区域为    0  像素填充, 平滑解码器同样保留了平滑掩码后的结果, 极少部分稀疏纹理区域用                        0  像素填充. 可以看
                 出, 即使仅保留少量纹理区域, 多数情况下查询样本具有更高的信息熵. 此外, 我们还计算了在有无类内多样性损
                 失情况下, 各类别生成      256  张查询样本, 每个类别内部每张样本          KL  散度的均值, 结果如图      7  所示. 结果表明, 类内