人工智能安全：原理与实践 课件 第2章 生成对抗网络的安全应用(2.3基于对抗性攻击无数据替代训练的模型窃取-实践).pptx

李剑博士，教授，博士生导师网络空间安全学院lijian@bupt.edu.cnJanuary23,2025第二章生成对抗网络的安全应用实践2-2基于对抗性攻击无数据替代训练的模型窃取

本章介绍本实践内容主要是利用专门设计的生成对抗网络GANs来训练替代模型，从而对目标模型进行窃取。本实践的难度较大，主要困难在于需要大量的算力资源，感兴趣的同学可以自己购买算力资源进行实践。如果没有条件，可以使用本教材提供的已经训练好的模型进行实践(详见本教材网盘)。

1.实践概述本实践使用了一种无数据替代训练方法（DaST），无需任何真实数据即可获得对抗性黑盒攻击的替代模型。为了实现这一目标，DaST利用专门设计的生成对抗网络(GANs)来训练替代模型。特别是，为生成模型设计了多分支架构和标签控制损失，以处理合成样本分布不均匀的问题。然后，替代模型通过生成模型生成的合成样本进行训练，这些样本随后由被攻击模型进行标记。实践表明，DaST生成的替代模型与使用相同训练集（被攻击模型的训练集）训练的基线模型相比，可以达到具有竞争力的表现。此外，为了评估所提方法在实际任务中的实用性，本实践内容设计攻击了MicrosoftAzure平台上的在线机器学习模型。该远程模型对伪造的98.35%的对抗样本进行了错误分类。

1.实践概述本实践内容主要是对抗性无数据模仿，它主要涉及对抗性输入的生成和利用，这是一种专门设计的输入，旨在确保被误分类以躲避检测。它的流程如图所示：

3.对抗性攻击对抗性攻击就是通过对抗性例子来攻击神经网络。根据对抗性攻击的特点和攻击效果，对抗性攻击可分为黑盒攻击和白盒攻击、单步攻击和迭代攻击、目标攻击和非目标攻击、特定扰动和通用扰动等。本实践主要涉及到以下两种攻击：1.白盒攻击：攻击者可以获得目标模型的完整结构和参数，包括训练数据、梯度信息和激活函数等。2.黑盒攻击：攻击者无法访问深度神经网络模型，从而无法获取模型结构和参数，只能通过将原始数据输入到目标模型中来获取目标模型的输出结果，并根据结果来想方设法进行攻击。

4.对抗性生成器-分类器训练使用无数据替代训练（DaST）方法进行对抗生成器-分类器训练的过程不需要任何真实数据，主要通过生成模型??来创造合成训练数据，以此来训练替代模型??。具体步骤如下：1.生成合成数据：生成模型??从输入空间随机采样噪声向量??，并生成数据。2.模型训练：生成的数据被用来探测被攻击模型??的输出。替代模型??则使用这些由??生成的数据和??的输出作为训练对来进行训练。3.目标和损失函数：生成模型??的目标是创造出能够探索??与??之间差异的新样本，而??的目标是模仿??的输出。4.标签控制的数据生成：为了解决生成的样本分布不均匀和类别单一的问题，实践设计了一个多分支架构和标签控制损失，使得生成模型??能够产生具有随机标签的合成样本。

5.标签可控的数据生成这种方法允许生成模型（G）产生带有随机标签的合成样本，这些标签是被攻击模型（T）赋予的。核心思想是通过多分支架构和标签控制损失（label-controlloss），来改善合成样本的分布不均匀问题。具体步骤如下：1.多分支架构：2.标签控制损失3.训练过程4.模型优化

6.实践目的1.验证DaST方法的有效性2.评估不同模型架构的影响3.实践在现实世界任务中的实用性4.探索无数据训练的潜力5.提高对抗样本的转移性

7.实践环境 Python版本：3.9或者更高的版本 Pytorch1.11.0 Cuda:11.3.1 GPU:A40（AUTODL云服务器，若无条件，可直接对本地已训练好的模型进行评估） 所需安装库：numpy1.21.5，matplotlib3.4.3，pyqt55.15.2 数据集：MNIST、CIFAR-10

8.实践过程第1步：访问Python官方网站下载Python3.9。选择相应的Windows安装程序（32位或64位）。下载后，运行安装程序并遵循安装向导，勾选“AddPython3.8toPATH”选项并点击InstallNow，如图所示。

8.实践过程第2步：安装实践环境。安装numpy1.24.2，pyqt55.15.1，matplotlib3.7.1，在命令行或终端中使用下面指令进行安装。

8.实践过程第3步：编写相关代码并运行，构建三个神经网络模型。

8.实践过程第4步：模型训练和测试

8.实践过程第5步：评估神经网络模型在不同对抗性攻击方法下的表现。

8.实践过程第6步：通过命令行执行程序。

9.实践结果实践结果。

9.实践结果