CN111881439B - 一种基于对抗性正则化的识别模型设计方法 - Google Patents
一种基于对抗性正则化的识别模型设计方法 Download PDFInfo
- Publication number
- CN111881439B CN111881439B CN202010666738.7A CN202010666738A CN111881439B CN 111881439 B CN111881439 B CN 111881439B CN 202010666738 A CN202010666738 A CN 202010666738A CN 111881439 B CN111881439 B CN 111881439B
- Authority
- CN
- China
- Prior art keywords
- model
- training
- equipment
- antagonism
- zero
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/047—Probabilistic or stochastic networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/048—Activation functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Data Mining & Analysis (AREA)
- Molecular Biology (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Probability & Statistics with Applications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种对抗性正则化的识别模型设计方法,首先需要定义设备识别模型及其优化函数;然后构建零先验知识对抗模型;接下来构建基于GAN的对抗性训练网络,其中生成器以设备识别模型为核心,判别器以零先验知识对抗模型为核心,两者在训练过程中互相形成对抗,随着训练次数的增多不断优化设备识别模型的参数,提高其对隐私推理攻击的健壮性;最后将设备识别模型进行对抗性训练并投入使用,生成设备指纹库。本发明是一种成熟的主动识别技术,能更好地在对抗性训练中发挥作用,提高模型的健壮性,在提高了对抗性训练的效率的同时,增加了网络参数调节的便捷性和稳定性,提高了模型对于隐私推理攻击的健壮性,保证了设备识别在安全可信的环境下进行。
Description
技术领域
本发明涉及物联网安全领域,特别的,涉及一种基于对抗性正则化的识别模型设计方法,能够加强物联网设备识别模型隐私保护。
背景技术
目前主要的设备识别方法,可以分为主动识别和被动识别两个方向。被动识别主要利用设备的流量特征以及信号特征所反映出来的设备异构性进行识别,然而,由于流量和场景的种种限制,其应用范围难以推广。在主动识别技术中,利用机器学习算法对设备特征数据进行提取和分类能够获得较好性能和识别精度,因此将机器学习方法应用于物联网设备识别中也逐渐成为主流。Shaikh等人(FarooqShaikh,EliasBou-Harb,JorgeCrichigno,NasirGhani.A Machine Learning Model for ClassifyingUnsolicited IoT Devices by Observing Network Telescopes.Proc.of IEEE IWCMC,2018)提出利用机器学习方法来实现对网络空间中物联网设备的二分类模型,实现对网络空间中恶意的物联网设备活动的准确识别。Li等人(Li,Q.;Feng,X.;Wang,R.;Li,Z.;Sun,L.Towards Fine-grained Fingerprinting of Firmware in Online EmbeddedDevices.Proc.of IEEE INFOCOM,2018)使用自然语言处理方法提取嵌入式在线监控设备返回的响应信息,并结合机器学习构建分类模型,自动生成设备指纹。然而,由于物联网设备特征趋于多元化,模型结构及其参数的复杂程度也逐渐加深,这会在训练设备识别模型时造成严重的过拟合问题。模型过拟合不仅会使识别精度下降,Yeom等人(Yeom S,Fredrikson M,Jha S,et al.The Unintended Consequences of Overfitting:TrainingData Inference Attacks[J].arXiv:Cryptography and Security,2017)的研究还表明,过拟合程度与攻击者从模型中学习隐私信息的能力直接相关,这会对模型参数以及训练集隐私造成严重的威胁。物联网设备识别过程事关服务提供商和用户的核心资产,这样的精度损失和隐私风险不可忽略的。Shokri等人(Shokri R,Stronati M,Song C,etal.Membership Inference Attacks Against Machine Learning Models[C].ieeesymposium on security and privacy,2017:3-18.)研究表明采用常规的L2正则化器可以减缓模型过拟合问题,并且在一定程度上能够防止隐私信息泄露;在此基础上,Salem等人(Salem A,Zhang Y,Humbert M,et al.ML-Leaks:Model and Data IndependentMembership Inference Attacks and Defenses on Machine Learning Models[C].network and distributed system security symposium,2019.)认为神经网络的Dropout以及模型叠加这两种防止过拟合的手段能够有效防止攻击者推理训练集信息,并通过实验证明了其可行性。然而,设备识别模型类型众多,这些泛化方法仅对于特定的机器学习模型有效,不具有广泛适用性。Nasr等人(Nasr M,Shokri R,Houmansadr A,etal.Machine Learning with Membership Privacy using Adversarial Regularization[C].computer and communications security,2018:634-646.)提出了一种训练目标分类器的最小-最大博弈论方法,该方法构造了一个最小-最大优化问题,以最小化目标分类器的预测损失,同时最大化成员隐私为目标,然而在该博弈中,未能考虑对抗模型的强度,隐私保护效果有限。
因此,如何提高物联网识别模型的设计,提高其识别效率,并提高了模型对于隐私推理攻击的健壮性,保证了设备识别在安全可信的环境下进行成为现有技术亟需解决的技术问题。
发明内容
本发明的目的在于提出一种基于对抗性正则化的识别模型设计方法,适用于物联网设备识别模型隐私保护。
为达此目的,本发明采用以下技术方案:
一种对抗性正则化的识别模型设计方法,其特征在于,包括如下步骤:
物联网设备识别模型构建步骤S110:采用神经网络算法构建物联网设备识别模型f(),在输入层和隐藏层中加入偏置项,并采用ReLU函数进行激活,该模型是以设备特征数据为输入,被构建为多输出的分类模型,在输出层设置了3个神经元,并采用Softmax函数进行激活,其分类结果分别对应着设备类型、设备型号以及设备品牌;
设备识别模型优化步骤S120:定义步骤S110中所构建的神经网络的优化目标为为损失项,其中D为训练数据集,L()为损失函数,f()为步骤S110中以神经网络算法构建的设备识别模型分类函数,x,y分别为f()的输入和输出;为正则化项,其中θ为模型的当前参数,n为模型参数的个数,λ为正则化系数;
预处理后验概率向量步骤S130:需要选择一个已经训练好的设备识别模型f/(),该模型需要与步骤S110中所构建的神经网络具有网络结构,获取该已经训练好的设备识别模型输出的后验概率P/作为下一步骤中所构建的对抗模型的训练集;
零先验知识对抗模型构建步骤S140:利用步骤S110中定义的设备识别神经网络模型f()作为目标模型,以输入神经网络的任意数据作为目标数据点得到预测结果,将所述设备识别模型f()预测结果的后验概率向量P进行矩阵化处理,该矩阵化处理与步骤S130相同,即进行适当的截取或者零填充,使其转换为128×128的矩阵形式,以便于进行卷积操作;将矩阵化处理后的结果输入零先验知识对抗模型h(),所述零先验知识对抗模型h()为多输出的卷积神经网络,经过反复的卷积以及池化提取特征,将全局池化后的结果传入到多个全连接层中分别获取模型参数,成员隐私,统计属性三种不同的推理结果;
攻击收益量化模型构建步骤S150:将零先验知识对抗模型的推理结果以及当前物联网设备识别神经网络模型每一层的参数向量作为输入,量化其攻击收益为:其中,h()零先验知识对抗模型,u为单次训练中对抗模型进行隐私推理的总次数,P为设备识别模型f()输出的后验概率,θT为当前设备识别模型的参数向量;
攻击收益阈值设置步骤S160:根据步骤S150,量化步骤S130中已经训练好的设备识别模型f/()的攻击收益,记作G1(θT),将m×G1(θT)作为阈值,m为范围在(0,1)之间的调整系数,m的大小反映了阈值设定的严格程度,m越小,所设置的阈值越严格,对抗性训练之后模型的健壮性越高,m越大,所设置的阈值越宽松,对抗性训练之后模型的健壮性越低;
基于GAN的对抗性训练网络构建步骤S170:利用GAN将对抗性训练分为生成器模型和判别器模型两部分,其中生成器模型以当前选定的正则化系数λ作为输入,对步骤S120中定义的优化目标进行梯度下降至收敛,生成一组设备识别模型的参数向量θT作为输出;判别器模型以当前生成器生成的一组参数向量θT作为输入,利用步骤S150定义的公式量化攻击收益并与步骤S160中所设置的阈值K进行比较,当攻击收益G(θT)大于K时,判别器判定在当前输入的正则化系数λ之下,生成器生成的参数向量θT不能使物联网设备识别模型足够健壮,在一定范围内调整正则化系数之后重新输入生成器以生成新的参数向量;反之,当判别器计算得出的对抗攻击收益G(θT)小于K时,判别器判定当前生成器生成的参数向量θT满足条件,输出θT作为物联网设备识别神经网络模型每一层的最终参数向量;
设备识别模型训练步骤S180:利用步骤S170构建的对抗性训练网络中进行训练,模型在训练结束之后即可对物联网设备进行分类以生成设备指纹库,利用指纹库即可达到在全网进行设备的目的,并且在设备识别过程中,保护模型及数据集的隐私。
可选的,所述物联网设备识别模型f()共3层,12个神经元,所输入的设备特征数据具体为从网络协议栈中抓取的标语信息,所述标语信息包含设备类型、设备品牌。
可选的,在步骤S120中,模型的当前参数θ具体为神经网络中每一层的权重值,所述权重值会随着训练次数增加而不断优化更新。
可选的,在步骤S130中,对于后验概率P/进行适当的截取或者零填充,使其转换为128×128的矩阵形式,以便于进行卷积操作。
可选的,在步骤S140中,所述零先验知识对抗模型h()的构建步骤包括:
在卷积层中设置128个大小为3的卷积核,卷积运算为其中,act表示激活函数,卷积层的输出由ReLU函数进行激活;Θ表示卷积核;在零先验知识攻击模型h()的训练过程中,x表示f/()输出的后验概率P/中与卷积核进行运算的模块,而在对抗性训练中,x表示f()输出的后验概率P中与卷积核进行运算的模块;m表示进行卷积运算的总次数,b表示该卷积层的偏置元素,加入偏置可以更好地拟合数据;
在池化层中采用常见的设置:规模大小为2×2,步幅为2,在此设置下对卷积层的输出进行下采样,逐渐降低后验概率矩阵的空间尺寸,并减少网络中参数的数量以有效减少计算资源的消耗;
在全连接层中,针对模型参数、训练集统计属性,经过全连接层之后直接获取其推理结果,而针对训练集成员隐私推理这类二分类问题,在全连接层中统一采用Sigmoid函数进行激活;
在完成构建之后,将步骤S130中的后验概率P/作为训练集输入至零先验知识对抗模型h(),在训练过程中,采用交叉验证的方法,即将训练集分为K个子集,每次训练选择一个子集作为测试集,其余的为训练集,训练结束后,将平均交叉验证正确率作为零先验知识对抗模型推理的最终正确率。
可选的,在步骤S160中,将m设定为0.2,即将0.2×G1(θT)作为阈值K。
可选的,在步骤S170中,所述在一定范围内调整正则化系数之后重新输入生成器以生成新的参数向量具体为:在[0,0.01]的范围内,以大小为0.1的步幅调整正则化系数之后重新输入生成器以生成新的参数向量。
一种存储介质,用于存储计算机可执行指令,其特征在于:所述计算机可执行指令在被处理器执行时执行上述的基于对抗性正则化的识别模型设计方法。
本发明具有如下优点:
1、在设备识别方面,本发明所采用神经网络算法能够使模型对设备特征字段更好地进行拟合,提高识别的精度,此外,基于标语的设备识别方法具有更小的局限性和更高的效率,是一种成熟的主动识别技术;
2、在对抗模型的构建方面,本发明所提出的零先验知识对抗模型能够在不需要掌握任何有关模型的先验知识的情况下,仅依赖于后验概率发动攻击,降低了攻击的成本,提高了攻击的精度和效率,具有广泛适用性。这样的对抗模型能更好地在对抗性训练中发挥作用,提高模型的健壮性;
3、在对抗性训练网络的构建方面,本发明采用基于GAN的网络结构进行构建,GAN网络将生成器和判别器分别进行设置,在提高了对抗性训练的效率的同时,增加了网络参数调节的便捷性和稳定性;
4、在整体架构方面,本发明通过对抗性正则化的手段在确保设备识别的精度不会受到损失的前提下,提高了模型对于隐私推理攻击的健壮性,保证了设备识别在安全可信的环境下进行。
附图说明
图1是根据本发明具体实施例的对抗性正则化的识别模型设计方法的流程图;
图2是根据本发明具体实施例的设备识别模型神经网络的示意图;
图3是根据本发明具体实施例的零先验知识对抗模型的攻击流程;
图4是根据本发明具体实施例的对抗性训练流程;
图5是根据本发明具体实施例的物联网设备识别模型整体流程。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
本发明提供一种基于对抗性正则化的识别模型设计方法,特别在于:首先需要定义设备识别模型及其优化函数;然后构建零先验知识对抗模型;接下来构建基于GAN的对抗性训练网络,其中生成器以设备识别模型为核心,判别器以零先验知识对抗模型为核心,两者在训练过程中互相形成对抗,随着训练次数的增多不断优化设备识别模型的参数,提高其对隐私推理攻击的健壮性;最后将设备识别模型进行对抗性训练并投入使用,生成设备指纹库,在保障模型隐私安全的前提下,达到在全网进行设备识别的目的。
具体的,参见图2示出了根据本发明具体实施例的对抗性正则化的识别模型设计方法的流程图,包括如下步骤:
物联网设备识别模型构建步骤S110:如图2所示的识别模型神经网络图,采用机器学习中的神经网络算法构建物联网设备识别模型f(),为了更好地拟合数据,在输入层和隐藏层中加入偏置项,并采用ReLU函数进行激活,该模型是以设备特征数据为输入,该网络被构建为多输出的分类模型,在输出层设置了3个神经元,并采用Softmax函数进行激活,其分类结果分别对应着设备类型、设备型号以及设备品牌。
在一个具体的实施例中,所述物联网设备识别模型f()共3层,12个神经元,所输入的设备特征数据具体为从网络协议栈中抓取的标语信息,所述标语信息包含设备类型、设备品牌。。
设备识别模型优化步骤S120:定义步骤S110中所构建的神经网络的优化目标为为损失项,其中D为训练数据集,L()为损失函数,f()为步骤S110中以神经网络算法构建的设备识别模型分类函数,x,y分别为f()的输入和输出;为正则化项,其中θ为模型的当前参数,n为模型参数的个数,λ为正则化系数。
λ的取值不同意味着对损失函数的正则化程度不同,本发明将在一定范围内调整λ的取值使设备识别模型的健壮性达到最强。
具体的,模型的当前参数θ具体为神经网络中每一层的权重值,所述权重值会随着训练次数增加而不断优化更新。
预处理后验概率向量步骤S130:需要选择一个已经训练好的设备识别模型f/(),该模型需要与步骤S110中所构建的神经网络具有网络结构,获取该已经训练好的设备识别模型输出的后验概率P/作为下一步骤中所构建的对抗模型的训练集。
具体的,对于后验概率P/进行适当的截取或者零填充,使其转换为128×128的矩阵形式,以便于进行卷积操作。
此处的后验概率P/仅用于对抗模型的训练,而在对抗性训练的过程中,需要获取f()输出的后验概率P,并进行相同的矩阵化处理。
零先验知识对抗模型构建步骤S140:参见图3,利用步骤S110中定义的设备识别神经网络模型f()作为目标模型,以输入神经网络的任意数据作为目标数据点得到预测结果,将所述设备识别模型f()预测结果的后验概率向量P进行矩阵化处理,该矩阵化处理与步骤S130相同,即进行适当的截取或者零填充,使其转换为128×128的矩阵形式,以便于进行卷积操作;将矩阵化处理后的结果输入零先验知识对抗模型h(),所述零先验知识对抗模型h()为多输出的卷积神经网络,经过反复的卷积以及池化提取特征,将全局池化后的结果传入到多个全连接层中分别获取模型参数,成员隐私,统计属性三种不同的推理结果。
进一步优选的,所述零先验知识对抗模型h()的构建步骤包括:
在卷积层中设置128个大小为3的卷积核,卷积运算为其中,act表示激活函数,卷积层的输出由ReLU函数进行激活;Θ表示卷积核;在零先验知识攻击模型h()的训练过程中,x表示f/()输出的后验概率P/中与卷积核进行运算的模块,而在对抗性训练中,x表示f()输出的后验概率P中与卷积核进行运算的模块;m表示进行卷积运算的总次数,b表示该卷积层的偏置元素,加入偏置可以更好地拟合数据;
在池化层中采用常见的设置:规模大小为2×2,步幅为2。在此设置下对卷积层的输出进行下采样,逐渐降低后验概率矩阵的空间尺寸,并减少网络中参数的数量以有效减少计算资源的消耗;
在全连接层中,针对模型参数、训练集统计属性这类回归问题,经过全连接层之后直接获取其推理结果,而针对训练集成员隐私推理这类二分类问题,在全连接层中统一采用Sigmoid函数进行激活。
在完成构建之后,将步骤S130中的后验概率P/作为训练集输入至零先验知识对抗模型h(),在训练过程中,采用交叉验证的方法,即将训练集分为K个子集,每次训练选择一个子集作为测试集,其余的为训练集,训练结束后,将平均交叉验证正确率作为零先验知识对抗模型推理的最终正确率。
攻击收益量化模型构建步骤S150:将零先验知识对抗模型的推理结果以及当前物联网设备识别神经网络模型每一层的参数向量作为输入,量化其攻击收益为:其中,h()零先验知识对抗模型,u为单次训练中对抗模型进行隐私推理的总次数,P为设备识别模型f()输出的后验概率,θT为当前设备识别模型的参数向量。
该步骤中定义的攻击收益量化方法将用于步骤S160中阈值的选定以及步骤S170中每次训练之后设备识别模型f()的健壮性衡量。
在后续的对抗性训练中,需要设定一个合适的阈值与每次训练后的攻击收益进行比较,以判断设备识别模型f()的健壮性是否满足需求,因此还具有:
攻击收益阈值设置步骤S160:根据步骤S150,量化步骤S130中已经训练好的设备识别模型f/()的攻击收益,记作G1(θT),将m×G1(θT)作为阈值,m为范围在(0,1)之间的调整系数,m的大小反映了阈值设定的严格程度,m越小,所设置的阈值越严格,对抗性训练之后模型的健壮性越高;m越大,所设置的阈值越宽松,对抗性训练之后模型的健壮性越低。
在一个可选的实施例中,考虑物联网设备识别事关网络空间的安全问题,因此需要设定一个较为严格的阈值以将模型的健壮性保持较高的水平,故将m设定为0.2,即将0.2×G1(θT)作为阈值K。
基于GAN的对抗性训练网络构建步骤S170:参见图4,
利用GAN将对抗性训练分为生成器模型和判别器模型两部分,其中生成器模型以当前选定的正则化系数λ作为输入,对步骤S120中定义的优化目标进行梯度下降至收敛,生成一组设备识别模型的参数向量θT作为输出;判别器模型以当前生成器生成的一组参数向量θT作为输入,利用步骤S150定义的公式量化攻击收益并与步骤S160中所设置的阈值K进行比较,当攻击收益G(θT)大于K时,判别器判定在当前输入的正则化系数λ之下,生成器生成的参数向量θT不能使物联网设备识别模型足够健壮,在一定范围内调整正则化系数之后重新输入生成器以生成新的参数向量;反之,当判别器计算得出的对抗攻击收益G(θT)小于K时,判别器判定当前生成器生成的参数向量θT满足条件,输出θT作为物联网设备识别神经网络模型每一层的最终参数向量。此时对抗性训练已经完成,最终生成的参数能够使模型对物联网设备保持较高的识别准确率的同时也对隐私推理攻击具有较高的健壮性。
在一个可选的实施例中,所述在一定范围内调整正则化系数之后重新输入生成器以生成新的参数向量具体为:在[0,0.01]的范围内,以大小为0.1的步幅调整正则化系数之后重新输入生成器以生成新的参数向量。
设备识别模型训练步骤S180:
如图5所示,本发明采用基于标语的方法进行物联网设备主动识别。物联网设备的厂商开发、生产和发布设备产品之后,会在网络协议栈中嵌入信息,这些信息即为标语信息。标语的抓取方式是先由探测主机向目标物联网设备发送针对特定服务和端口的协议探测报文,如果物联网设备开启着该服务以及端口,便会返回对应包含设备标语信息的响应报文。
该步骤为将接收的响应数据经过特征提取以及标签化之后,用于训练步骤S110中构建的设备识别模型,在步骤S170构建的对抗性训练网络中进行训练,模型在训练结束之后即可对物联网设备进行分类以生成设备指纹库,利用指纹库即可达到在全网进行设备的目的,并且在设备识别过程中,模型及数据集的隐私是受到严格保护的。
因此,本发明具有如下优点:
1、在设备识别方面,本发明所采用神经网络算法能够使模型对设备特征字段更好地进行拟合,提高识别的精度,此外,基于标语的设备识别方法具有更小的局限性和更高的效率,是一种成熟的主动识别技术;
2、在对抗模型的构建方面,本发明所提出的零先验知识对抗模型能够在不需要掌握任何有关模型的先验知识的情况下,仅依赖于后验概率发动攻击,降低了攻击的成本,提高了攻击的精度和效率,具有广泛适用性。这样的对抗模型能更好地在对抗性训练中发挥作用,提高模型的健壮性;
3、在对抗性训练网络的构建方面,本发明采用基于GAN的网络结构进行构建,GAN网络将生成器和判别器分别进行设置,在提高了对抗性训练的效率的同时,增加了网络参数调节的便捷性和稳定性;
4、在整体架构方面,本发明通过对抗性正则化的手段在确保设备识别的精度不会受到损失的前提下,提高了模型对于隐私推理攻击的健壮性,保证了设备识别在安全可信的环境下进行。
本发明进一步公开了一种存储介质,用于存储计算机可执行指令,其特征在于:所述计算机可执行指令在被处理器执行时执行上述的基于对抗性正则化的识别模型设计方法。
显然,本领域技术人员应该明白,上述的本发明的各单元或各步骤可以用通用的计算装置来实现,它们可以集中在单个计算装置上,可选地,他们可以用计算机装置可执行的程序代码来实现,从而可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件的结合。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施方式仅限于此,对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单的推演或替换,都应当视为属于本发明由所提交的权利要求书确定保护范围。
Claims (7)
1.一种对抗性正则化的识别模型设计方法,其特征在于,包括如下步骤:
物联网设备识别模型构建步骤S110:采用神经网络算法构建物联网设备识别模型f(),在输入层和隐藏层中加入偏置项,并采用ReLU函数进行激活,该模型是以设备特征数据为输入,被构建为多输出的分类模型,在输出层设置了3个神经元,并采用Softmax函数进行激活,其分类结果分别对应着设备类型、设备型号以及设备品牌;
设备识别模型优化步骤S120:定义步骤S110中所构建的神经网络的优化目标为为损失项,其中D为训练数据集,L()为损失函数,f()为步骤S110中以神经网络算法构建的设备识别模型分类函数,x,y分别为f()的输入和输出;为正则化项,其中θ为模型的当前参数,n为模型参数的个数,λ为正则化系数;
预处理后验概率向量步骤S130:需要选择一个已经训练好的设备识别模型f/(),该模型需要与步骤S110中所构建的神经网络具有网络结构,获取该已经训练好的设备识别模型输出的后验概率P/作为下一步骤中所构建的对抗模型的训练集;
零先验知识对抗模型构建步骤S140:利用步骤S110中定义的设备识别神经网络模型f()作为目标模型,以输入神经网络的任意数据作为目标数据点得到预测结果,将所述设备识别模型f()预测结果的后验概率向量P进行矩阵化处理,该矩阵化处理与步骤S130相同,即进行适当的截取或者零填充,使其转换为128×128的矩阵形式,以便于进行卷积操作;将矩阵化处理后的结果输入零先验知识对抗模型h(),所述零先验知识对抗模型h()为多输出的卷积神经网络,经过反复的卷积以及池化提取特征,将全局池化后的结果传入到多个全连接层中分别获取模型参数,成员隐私,统计属性三种不同的推理结果;
攻击收益量化模型构建步骤S150:将零先验知识对抗模型的推理结果以及当前物联网设备识别神经网络模型每一层的参数向量作为输入,量化其攻击收益为:其中,h()零先验知识对抗模型,u为单次训练中对抗模型进行隐私推理的总次数,P为设备识别模型f()输出的后验概率,θT为当前设备识别模型的参数向量;
攻击收益阈值设置步骤S160:根据步骤S150,量化步骤S130中已经训练好的设备识别模型f/()的攻击收益,记作G1(θT),将m×G1(θT)作为阈值,m为范围在(0,1)之间的调整系数,m的大小反映了阈值设定的严格程度,m越小,所设置的阈值越严格,对抗性训练之后模型的健壮性越高,m越大,所设置的阈值越宽松,对抗性训练之后模型的健壮性越低;
基于GAN的对抗性训练网络构建步骤S170:利用GAN将对抗性训练分为生成器模型和判别器模型两部分,其中生成器模型以当前选定的正则化系数λ作为输入,对步骤S120中定义的优化目标进行梯度下降至收敛,生成一组设备识别模型的参数向量θT作为输出;判别器模型以当前生成器生成的一组参数向量θT作为输入,利用步骤S150定义的公式量化攻击收益并与步骤S160中所设置的阈值K进行比较,当攻击收益G(θT)大于K时,判别器判定在当前输入的正则化系数λ之下,生成器生成的参数向量θT不能使物联网设备识别模型足够健壮,在一定范围内调整正则化系数之后重新输入生成器以生成新的参数向量;反之,当判别器计算得出的对抗攻击收益G(θT)小于K时,判别器判定当前生成器生成的参数向量θT满足条件,输出θT作为物联网设备识别神经网络模型每一层的最终参数向量;
设备识别模型训练步骤S180:利用步骤S170构建的对抗性训练网络进行训练,模型在训练结束之后即可对物联网设备进行分类以生成设备指纹库,利用指纹库即可达到在全网进行设备识别的目的,并且在设备识别过程中,保护模型及数据集的隐私。
2.根据权利要求1所述的对抗性正则化的识别模型设计方法,其特征在于:
所述物联网设备识别模型f()共3层,12个神经元,所输入的设备特征数据具体为从网络协议栈中抓取的标语信息,所述标语信息包含设备类型、设备品牌。
3.根据权利要求1所述的对抗性正则化的识别模型设计方法,其特征在于:
在步骤S120中,模型的当前参数θ具体为神经网络中每一层的权重值,所述权重值会随着训练次数增加而不断优化更新。
4.根据权利要求1所述的对抗性正则化的识别模型设计方法,其特征在于:
在步骤S130中,对于后验概率P/进行适当的截取或者零填充,使其转换为128×128的矩阵形式,以便于进行卷积操作。
5.根据权利要求1所述的对抗性正则化的识别模型设计方法,其特征在于:
在步骤S140中,所述零先验知识对抗模型h()的构建步骤包括:
在卷积层中设置128个大小为3的卷积核,卷积运算为其中,act表示激活函数,卷积层的输出由ReLU函数进行激活;Θ表示卷积核;在零先验知识攻击模型h()的训练过程中,x表示f/()输出的后验概率P/中与卷积核进行运算的模块,而在对抗性训练中,x表示f()输出的后验概率P中与卷积核进行运算的模块;m表示进行卷积运算的总次数,b表示该卷积层的偏置元素,加入偏置可以更好地拟合数据;
在池化层中采用常见的设置:规模大小为2×2,步幅为2,在此设置下对卷积层的输出进行下采样,逐渐降低后验概率矩阵的空间尺寸,并减少网络中参数的数量以有效减少计算资源的消耗;
在全连接层中,针对模型参数、训练集统计属性,经过全连接层之后直接获取其推理结果,而针对训练集成员隐私推理这类二分类问题,在全连接层中统一采用Sigmoid函数进行激活;
在完成构建之后,将步骤S130中的后验概率P/作为训练集输入至零先验知识对抗模型h(),在训练过程中,采用交叉验证的方法,即将训练集分为多个子集,每次训练选择一个子集作为测试集,其余的为训练集,训练结束后,将平均交叉验证正确率作为零先验知识对抗模型推理的最终正确率。
6.根据权利要求1所述的对抗性正则化的识别模型设计方法,其特征在于:
在步骤S160中,将m设定为0.2,即将0.2×G1(θT)作为阈值K。
7.一种存储介质,用于存储计算机可执行指令,其特征在于:
所述计算机可执行指令在被处理器执行时执行权利要求1-6中任一项所述的基于对抗性正则化的识别模型设计方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010666738.7A CN111881439B (zh) | 2020-07-13 | 2020-07-13 | 一种基于对抗性正则化的识别模型设计方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010666738.7A CN111881439B (zh) | 2020-07-13 | 2020-07-13 | 一种基于对抗性正则化的识别模型设计方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111881439A CN111881439A (zh) | 2020-11-03 |
CN111881439B true CN111881439B (zh) | 2022-05-27 |
Family
ID=73151699
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010666738.7A Active CN111881439B (zh) | 2020-07-13 | 2020-07-13 | 一种基于对抗性正则化的识别模型设计方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111881439B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112491663B (zh) * | 2020-12-13 | 2021-07-27 | 北京哈工信息产业股份有限公司 | 一种探测、识别物联网终端的系统及方法 |
CN113673680B (zh) * | 2021-08-20 | 2023-09-15 | 上海大学 | 通过对抗网络自动生成验证性质的模型验证方法和系统 |
CN114745157B (zh) * | 2022-03-15 | 2024-02-13 | 尚蝉(浙江)科技有限公司 | 一种基于生成对抗网络的抵御网络流量侦察方法、系统、终端和存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109308450A (zh) * | 2018-08-08 | 2019-02-05 | 杰创智能科技股份有限公司 | 一种基于生成对抗网络的脸部变化预测方法 |
WO2020123097A1 (en) * | 2018-12-11 | 2020-06-18 | Exxonmobil Upstream Research Company | Training machine learning systems for seismic interpretation |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11164076B2 (en) * | 2016-10-20 | 2021-11-02 | Uber Technologies, Inc. | Intelligent regularization of neural network architectures |
CA3000166A1 (en) * | 2017-04-03 | 2018-10-03 | Royal Bank Of Canada | Systems and methods for cyberbot network detection |
US11494667B2 (en) * | 2018-01-18 | 2022-11-08 | Google Llc | Systems and methods for improved adversarial training of machine-learned models |
US11232541B2 (en) * | 2018-10-08 | 2022-01-25 | Rensselaer Polytechnic Institute | CT super-resolution GAN constrained by the identical, residual and cycle learning ensemble (GAN-circle) |
US11657162B2 (en) * | 2019-03-22 | 2023-05-23 | Intel Corporation | Adversarial training of neural networks using information about activation path differentials |
-
2020
- 2020-07-13 CN CN202010666738.7A patent/CN111881439B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109308450A (zh) * | 2018-08-08 | 2019-02-05 | 杰创智能科技股份有限公司 | 一种基于生成对抗网络的脸部变化预测方法 |
WO2020123097A1 (en) * | 2018-12-11 | 2020-06-18 | Exxonmobil Upstream Research Company | Training machine learning systems for seismic interpretation |
Non-Patent Citations (4)
Title |
---|
Network Intrusion Detection Based on Supervised Adversarial Variational Auto-Encoder With Regularization;YANQING YANG等;《IEEE,Digital Object Identifier 10.1109/ACCESS.2020.2977007》;20200311;第42169-42184页 * |
基于条件深度卷积生成对抗网络的图像识别方法;唐贤伦等;《自动化学报》;20180309(第05期);第855-864页 * |
基于知识成熟度的动态正则化神经网络优化方法;邓青等;《电子测量与仪器学报》;20180215(第02期);第113-118页 * |
深度学习中的对抗样本问题;张思思;《计算机学报》;20190831;第42卷(第8期);第1886-1904页 * |
Also Published As
Publication number | Publication date |
---|---|
CN111881439A (zh) | 2020-11-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111881439B (zh) | 一种基于对抗性正则化的识别模型设计方法 | |
Aamir et al. | DDoS attack detection with feature engineering and machine learning: the framework and performance evaluation | |
WO2021018228A1 (en) | Detection of adverserial attacks on graphs and graph subsets | |
CN111753881B (zh) | 一种基于概念敏感性量化识别对抗攻击的防御方法 | |
Wang et al. | MIASec: Enabling data indistinguishability against membership inference attacks in MLaaS | |
Shi et al. | Active deep learning attacks under strict rate limitations for online API calls | |
Srivastava et al. | An ensemble model for intrusion detection in the internet of softwarized things | |
Saurabh et al. | Lbdmids: LSTM based deep learning model for intrusion detection systems for IOT networks | |
Anil et al. | A hybrid method based on genetic algorithm, self-organised feature map, and support vector machine for better network anomaly detection | |
Deore et al. | Hybrid optimization enabled robust CNN-LSTM technique for network intrusion detection | |
US20230325497A1 (en) | Watermark protection of artificial intelligence model | |
Lan et al. | MEMBER: A multi-task learning model with hybrid deep features for network intrusion detection | |
Labaca-Castro et al. | Poster: Attacking malware classifiers by crafting gradient-attacks that preserve functionality | |
Yin et al. | Neural network fragile watermarking with no model performance degradation | |
CN116996272A (zh) | 一种基于改进的麻雀搜索算法的网络安全态势预测方法 | |
Liu et al. | Towards Defending Multiple ℓ p-Norm Bounded Adversarial Perturbations via Gated Batch Normalization | |
Zhao et al. | Resilience of pruned neural network against poisoning attack | |
Khazane et al. | A holistic review of machine learning adversarial attacks in IoT networks | |
Chen et al. | Overload: Latency attacks on object detection for edge devices | |
Cengiz et al. | A novel intrusion detection system based on artificial neural network and genetic algorithm with a new dimensionality reduction technique for UAV communication | |
Marchetti et al. | Framework and models for multistep attack detection | |
Liu et al. | Automatic feature extraction and selection for machine learning based intrusion detection | |
CN116707870A (zh) | 防御策略模型训练方法、防御策略确定方法和设备 | |
Rathore et al. | Are Malware Detection Classifiers Adversarially Vulnerable to Actor-Critic based Evasion Attacks? | |
Gopal et al. | Autoencoder based Architecture for Mitigating Phishing URL attack in the Internet of Things (IoT) Using Deep Neural Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |