[发明专利]一种基于生成对抗网络的模型安全性检测方法

说明书

一种基于生成对抗网络的模型安全性检测方法，采用的具体步骤为：步骤一：设定行为相似度安全阈值δ；步骤二：构建初始化生成器G和替代模型D；步骤三：进行逐轮迭代，计算替代模型D和被测模型T之间的行为相似度μ，达到设定值后进入下一步；步骤四：评估被测模型T的安全性。本发明所使用的基于GAN的模型窃取方法适用于无训练数据的黑盒攻击场景，通过生成类别较为均衡的人造数据，快速提升替代模型与被测模型的行为相似度。根据实验结果，本发明具有适应性强，效率高等特点，可以客观地反映被测模型访问接口暴露后，遭受模型窃取攻击的风险。

技术领域

本发明涉及计算机信息安全技术领域，具体涉及基于生成对抗网络的模型安全性检测方法。

背景技术

软件或者模型是否安全，需要检测软件或者模型进行检测，当前，用于检测模型抵御模型窃取攻击安全性的方法主要是利用已有的模型窃取方法，通过构建一个与待测模型功能相似的替代模型，检测代替模型与待测模型的行为相似度，并与预设的安全阈值相比较，做出相应的评价。如果相似度高于安全阈值，则说明待测模型遭受模型性窃取的风险较大，反之，则表示待测模型具有相当的抵御模型窃取攻击的能力。

检测模型抵御模型窃取攻击安全性方法流程中除了预设安全阈值和评价被测模型安全性之外，中间的步骤可以看作是进行一次模型窃取。即：1、预设安全阈值；2、实施“模型窃取”，获取替代模型D；3、比较替代模型D和被测模型行为相似度与预设安全阈值关系，评估被测模型安全性。

当前模型窃取主要有三种方法，即基于真实训练数据的方法、基于其它训练数据的模型窃取和基于数据生成的方法。

基于真实训练数据的模型窃取方法预设了一个前提，即攻击者可以预先获取训练被攻击模型的训练数据，攻击者通过访问被攻击模型获取对应的标签，以此获取一批高质量的训练数据，因此可以高效率地训练替代模型。但是，现实生活中，被攻击的模型往往是由于高价值的训练数据才具有窃取的价值，训练数据几乎不可能拿到。

基于其它训练数据的模型窃取使用其它容易获取数据集来替代真实数据，攻击者使用这些数据访问被攻击模型，获取对应的标签，进而用于训练替代模型。这种方法成功与否很大程度上取决于所获取的数据集与真实数据集的分布之间的差异，差异越大，训练效果越差。

基于数据生成的方法使用特定的方法合成人造数据来替代真实数据，攻击者基于这些人造数据访问被攻击模型获取对应的标签，从而训练替代模型。这种方法往往难以在确保在几次数据生成的过程中覆盖到所有的类别，并保持相当的数量，所以需要大量访问被攻击模型以获取足够的数据。

模型窃取难以在没有真实训练数据或相近训练数据的情况下实施，一般基于数据生成的模型窃取又难以控制生成数据的分布，这导致在无训练数据情况下的模型窃取难以实施。

发明内容

本发明针对现有技术的不足，提出一种适用于模型拥有者在能够保证训练数据安全的场景下，评估被测模型在防御模型窃取攻击的能力，判断待检测模型是否安全的方案的基于生成对抗网络的模型安全性检测方法，具体技术方案如下：

一种基于生成对抗网络的模型安全性检测方法，采用的具体步骤为：

步骤一：设定行为相似度安全阈值δ；

步骤二：构建初始化生成器G和替代模型D；

步骤三：进行逐轮迭代，计算替代模型D和被测模型T之间的行为相似度μ，达到设定值后进入下一步；

步骤四：评估被测模型T的安全性。

作为优化：所述步骤一具体为，行为相似度安全阈值δ，视使用中对被测模型的安全性要求高低而定，0δ≤1,δ越大，表示安全性要求等级越低，反之表示安全性要求等级越高。