CN113111731A - 基于测信道信息的深度神经网络黑盒对抗样本生成方法及系统 - Google Patents

Abstract

本发明公开了一种基于侧信道信息对深度神经网络灰盒攻击的方法，包括：(S1)：在嵌入式智能设备上运行各种常见的深度学习模型，同时采集设备运行时的各种功耗数据；(S2)：基于侧信道攻击来识别目标模型的基本网络结构；(S3)：利用识别出的网络结构生成等价模型；(S4)：使用训练的等价模型生成对抗样本。本发明还包括一种基于测信道信息的深度神经网络黑盒对抗样本生成系统，由数据采集模块、识别深度学习模型模块、等价模型生成模块和对抗样本生成模块组成；本发明可以根据功耗轨迹使用适当的机器学习算法识别出模型结构，然后利用识别出的模型结构训练出和目标模型有相同决策边界的等价模型，最后利用等价模型生成对抗样本对目标模型进行攻击。

Description

基于测信道信息的深度神经网络黑盒对抗样本生成方法及 系统

技术领域

本发明涉及一种深度学习模型对抗攻击领域，主要应用在深度学习模型的安全领域，具体涉及一种基于测信道信息的深度神经网络黑盒对抗样本生成的法及系统。

背景技术

深度神经网络广泛应用于图像分类、目标检测、自然语言处理等领域。深度神经网络可以在这些领域达到很好的效果，甚至超过人类。然而同时这些技术背后的安全问题与攻防技术越来越受到关注。主流的人工智能技术安全性考量主要在软件层面，通过对深度学习模型的输入添加扰动，即生成对抗样本使模型输出分类错误，这给现代人工智能带来了巨大的安全隐患，现有的对抗攻击包括白盒攻击和黑盒攻击，白盒攻击需要知道目标模型的全部信息，包括参数值、网络结构、训练数据集等。与白盒攻击不同，黑盒攻击假设目标模型是未知的，当然白盒攻击更有效果也更容易实施。然而在实际应用中，大多数人工智能设备都被认为是黑匣子。一般来说，黑盒攻击的效果较差，但更有实际意义。如果能够多了解一些模型信息，对攻击者的攻击而言将更具有优势。实际上，在模型运行时，攻击者在硬件层面上对设备的时空资源消耗进行分析可以获得部分的模型信息，被分析的这类信息统称为侧信道信息。通过侧信道信息实现对模型的破解则称为侧信道攻击。侧信道攻击是一种基于侧信道信息的攻击技术。侧信道信息意为加密设备中的除与密文直接相关的显式信息外的其它信息，如设备的功耗、电磁辐射、时间消耗等等。

基于嵌入式智能设备运行深度学习模型应用非常常见，例如图像识别、信号识别、网络分类等。由于嵌入式设备价格便宜、使用灵活、性能强大和部署简单，将深度学习模型部署于嵌入式智能设备，通过本地网络或者互联网传输模型的输入及输出结果是一种常见的应用场景。因此会有一大部分深度学习模型以部署在嵌入式智能设备上的方式向市场提供人工智能方面的服务。对于这一类模型，我们无法直接从智能设备上获取它们运行模型的信息，但是能够获取其模型对硬件资源的使用情况，进而通过对硬件资源的分析来推断出正在运行模型的结构。就智能设备而言，攻击者可用的侧信道信息有CPU缓存、数据传输时间和功耗等侧信道信息。因此本发明提出了一种基于测信道信息的深度神经网络黑盒对抗样本生成方法，我们采用基于侧信道攻击的方法来识别目标模型的基本网络结构，然后利用识别出的网络结构生成等价模型，最后我们使用训练的等价模型来生成对抗样本攻击目标模型。

公开号为CN112149609A的一种针对电能质量信号神经网络分类模型的黑盒对抗样本攻击方法，通过训练目标模型和攻击者的本地替代模型，攻击者针对本地训练模型生成通用扰动，攻击者使用生成的通用扰动攻击目标模型，但是该方法在训练替代模型依赖目标模型的数据集，而且替代模型和攻击模型结构没有关联依据，生成的对抗样本不可靠，同时计算过程复杂。

发明内容

本发明要克服对运行在嵌入式智能设备上的深度学习模型进行白盒攻击不实用，黑盒攻击很难实现，提供一种介于白盒攻击和黑盒攻击之间的方法灰盒攻击，它比白盒攻击更实用，也优于黑盒攻击。

本发明的技术构思为：本发明通过实验表明不同的深度学习模型由于结构的不同，在嵌入式智能设备上运行时消耗的功耗也不同，可以根据功耗轨迹使用适当的机器学习算法推导出模型结构，然后利用识别出的模型结构训练出和目标模型有相同决策边界的等价模型，最后利用等价模型生成对抗样本对目标模型进行攻击。

本发明实现上述发明目的所采用的技术方案如下：

一种基于测信道信息的深度神经网络黑盒对抗样本生成方法及系统，包括以下步骤：

S1：在嵌入式智能设备上运行各种常见的深度学习模型，同时采集设备运行时的各种功耗数据；

S2：基于侧信道攻击来识别深度学习模型的基本网络结构；

S3：利用识别出的网络结构生成等价模型；

S4：使用训练的等价模型生成对抗样本。

优选的，所述步骤S1具体包括：实时地采集不同深度学习模型运行时的电流和电压数据，电流数据和电压数据相乘得到功率数据，然后对功率数据取均值、中值、方差，为了获取识别目标模型的数据集。

优选的，所述步骤S2具体包括：

S2.1：深度神经网络包括卷积层conv、池化层pl、激活函数层ac和全连接层fc，它们的功耗定义如下：

P_ac(C,L,W)＝p_acαCLW (3)

P_fc(X,Y)＝p_mXY+p_aXY (4)

其中P_conv为卷积层功耗、P_pl为池化层功耗、P_ac为激活函数层功耗、P_fc为全连接层功耗；p_m为乘法功耗系数、p_a为加法功耗系数、p_c为比较功耗系数、p_ac为激活函数功耗系数；C、W、L分别为输入的长宽高，F为卷积核的大小，S为滤波步长，N为滤波器个数，X为第一个全连层的神经元个数，Y是输出神经元的个数；

S2.2：不同的深度学习模型由于结构的不同，在嵌入式智能设备上运行时消耗的功耗也不同，可以根据功耗轨迹使用适当的机器学习算法识别模型结构。

优选的，所述步骤S3具体包括：

S3.1：首先从数据集中随机选取100个样本建立训练集，该模型没有关于目标模型训练集的先验知识，因此该训练集不需要与目标模型的训练集相同，然后使用目标设备为训练集生成标签，将训练集样本按顺序输入目标设备，得到相应的标签，为了生成一小部分用来训练等价模型的训练集；

S3.2：基于雅可比矩阵对用来训练等价模型的数据集进行扩增，这是为了在尽可能少的对目标模型的访问下，获取足够多的训练集，让灰盒攻击更符合实际条件，公式如下：

S_ρ+1＝{x+λ·sign(J_F[O(x)]):x∈S_ρ)}∪S_ρ (5)

其中x为原始图像，S_ρ为当前训练集，S_ρ+1为新的训练集，J_F[·]为等价模型的雅可比矩阵，O(x)为训练样本的预测标签，sign(·)为符号函数，λ∈(0,1]是调优参数；

S3.3：使用扩增的训练集，训练等价模型，等价模型和目标模型具有相似的决策边界和模型参数，这样就间接的得到了目标模型的参数。

优选的，所述步骤S4具体包括：

S4.1：训练出等价模型后，然后使用快速梯度标志攻击(FGSM)模型生成对抗样本，其添加的扰动计算公式如下：

其中η为添加的扰动，θ为模型参数，y为对抗样本的标签，J(θ,x,y)为代价函数，ε∈(0,1]为标量；

S4.2：把生成的对抗样本，输入给目标模型，然后看目标模型会不会分类错误，记录出分类错误的样本，然后计算出攻击的成功率。

实现本发明的一种基于测信道信息的深度神经网络黑盒对抗样本生成方法的系统，包括：数据采集模块、识别深度学习模型模块、等价模型生成模块和对抗样本生成模块；

所述数据采集模块在嵌入式智能设备上运行各种常见的深度学习模型，同时采集设备运行时的各种功耗数据，然后对功耗数据取均值、中值、方差，为了获取识别目标模型的数据集。

所述识别深度学习模型模块基于侧信道攻击来识别深度学习模型的基本网络结构，具体包括：深度神经网络包括卷积层、池化层、激活函数层和全连接层，而每一层在运行时消耗的功耗不同，所以不同的深度学习模型在嵌入式智能设备上运行时消耗的功耗也不同，可以根据功耗轨迹使用适当的机器学习算法识别模型结构。

所述等价模型生成模块利用识别出的网络结构生成等价模型，具体包括：首先从数据集中随机选取100个样本建立训练集，该模型没有关于目标模型训练集的先验知识，然后使用目标设备为训练集生成标签，这样就得到了训练等价模型的100训练集，然后使用雅可比矩阵对用来训练等价模型的数据集进行扩增，最后使用扩增的训练集，训练等价模型。

所述对抗样本生成模块使用训练的等价模型生成对抗样本，具体包括：生成等价模型后，然后使用快速梯度标志攻击(FGSM)模型生成对抗样本，把生成的对抗样本，输入给目标模型，输出攻击的成功率。

所述的数据采集模块、识别深度学习模型模块、等价模型生成模块和对抗样本生成模块依次连接。

本发明的有益效果为：

(1).合理利用嵌入式智能设备，价格便宜部署简单，采集数据方便，易于分析；

(2).本发明表明深度学习模型在运行时，嵌入式智能设备的功耗与其内在模型存在相关性，通过对这种相关性的分析，可以推导出模型的结构；

(3).本发明提出的对嵌入式智能设备中深度学习模型结构识别的方法，可以把传统对抗样本攻击从黑盒攻击变为灰盒攻击，显著的提高攻击准确度；

(4).本文提出的灰盒攻击方法显著优于现有的灰盒攻击方法。

附图说明

图1为本发明的方法的流程图；

图2为推导目标模型的网络结构实验结果；

图3(a)为对抗样本对InceptionV3的攻击成功率，图3(b)为对抗样本对Alexnet的攻击成功率，图3(c)为对抗样本对MobilenetV1的攻击成功率，图3(d)为对抗样本对Resnet的攻击成功率，图3(e)为对抗样本对MobilenetV2的攻击成功率，其中横坐标ε为攻击强度，纵坐标为攻击成功率，图中最上面的那条曲线为白盒攻击成功率，中间为灰盒攻击成功率，最下面的为黑盒攻击成功率；

图4为本发明的系统结构示意图。

具体实施方式

下面结合说明书附图对本发明的具体实施方式作进一步详细描述。

参照图1至图4，一种基于测信道信息的深度神经网络黑盒对抗样本生成方法及系统，包括以下步骤：

S1:在树莓派上使用tensorflow、pytorch等开源深度学习框架运行各种常见的深度学习模型，具体包括：

搭建采集嵌入式智能设备功耗数据的实验平台包括嵌入式智能设备树莓派3B和数据采集卡，在树莓派上分别运行InceptionV3、Alexnet、MobilenetV1、MobilenetV2和Resnet深度学习模，这些模型就是攻击目标，通过预训练分类准确率均在95％以上，数据集为mnist_fash公开数据集，大小为19050，学习算法是Adam，迭代次数为50，学习率为0.001，批量为50个，在运行模型的同时采集树莓派的电流和电压数据，电流数据和电压数据相乘得到功率数据，然后对功率数据取均值、中值、方差处理，得到推导目标模型结构的测试集。

S2：基于侧信道攻击来推导目标模型的基本网络结构实验结果如图2，具体包括：

S2.1：深度神经网络一般包括卷积层conv、池化层pl、激活函数层ac和全连接层fc，它们的功耗定义如下：

P_ac(C,L,W)＝p_acαCLW (3)

P_fc(X,Y)＝p_mXY+p_aXY (4)

其中P_conv为卷积层功耗、P_pl为池化层功耗、P_ac为激活函数层功耗、P_fc为全连接层功耗；p_m为乘法功耗系数、p_a为加法功耗系数、p_c为比较功耗系数、p_ac为激活函数功耗系数；C、W、L分别为输入的长宽高，F为卷积核的大小，S为滤波步长，N为滤波器个数，X为第一个全连层的神经元个数，Y是输出神经元的个数；

S2.2：不同的深度学习模型由于结构的不同，在嵌入式智能设备上运行时消耗的功耗也不同，可以根据功耗轨迹使用适当的机器学习算法识别模型结构，这里使用支持向量机(SVM)的方法对目标模型进行分类，分类结果如图2，平均分类准确率为90.8％。

S3：利用推导出的网络结构训练等价模型，具体包括：

S3.1：首先从数据集中随机选取100个样本建立训练集，该模型假设没有关于目标模型训练集的先验知识，因此该训练集不需要与目标模型的训练集相同，然后使用目标设备为训练集生成标签，将训练集样本按顺序输入目标设备，得到相应的标签，为了生成一小部分用来训练等价模型的训练集；

S3.2：基于雅可比矩阵对用来训练等价模型的数据集进行扩增，这是为了在尽可能少的对目标模型的访问下，获取足够多的训练集，因为要训练一个性能良好的分类模型，训练集的数量必须足够的大，所以要用雅可比矩阵对训练等价模型的训练集进行扩增，公式如下：

S_ρ+1＝{x+λ·sign(J_F[O(x)]):x∈S_ρ)}∪S_ρ (5)

其中x为原始图像，S_ρ为当前训练集，S_ρ+1为新的训练集，J_F[·]为代替模型的雅可比矩阵，O(x)为训练样本的预测标签，sign(·)为符号函数，λ∈(0,1]是调优参数；

S4：使用训练的等价模型生成对抗样本，具体包括：

S4.1：训练出等价模型后，然后使用快速梯度标志攻击(FGSM)模型生成对抗样本，其添加的扰动计算公式如下：

其中η为添加的扰动，θ为模型参数，y为对抗样本的标签，J(θ,x,y)为代价函数，ε∈(0,1]为标量；

S4.2：把生成的对抗样本，输入给目标模型，输出攻击的成功率，如图3(a)～(e)。

实现本发明的一种基于测信道信息的深度神经网络黑盒对抗样本生成方法的系统，如图4包括：数据采集模块、识别深度学习模型模块、等价模型生成模块和对抗样本生成模块。

所述数据采集模块在嵌入式智能设备上运行各种常见的深度学习模型，同时采集设备运行时的各种功耗数据，然后对功耗数据取均值、中值、方差，为了获取识别目标模型的数据集。

所述识别深度学习模型模块基于侧信道攻击来识别深度学习模型的基本网络结构，具体包括：深度神经网络包括卷积层、池化层、激活函数层和全连接层，而每一层在运行时消耗的功耗不同，所以不同的深度学习模型在嵌入式智能设备上运行时消耗的功耗也不同，可以根据功耗轨迹使用适当的机器学习算法识别模型结构。

所述等价模型生成模块利用识别出的网络结构生成等价模型，具体包括：首先从数据集中随机选取100个样本建立训练集，该模型没有关于目标模型训练集的先验知识，然后使用目标设备为训练集生成标签，这样就得到了训练等价模型的100训练集，然后使用雅可比矩阵对用来训练等价模型的数据集进行扩增，最后使用扩增的训练集，训练等价模型。

所述对抗样本生成模块使用训练的等价模型生成对抗样本，具体包括：生成等价模型后，然后使用快速梯度标志攻击(FGSM)模型生成对抗样本，把生成的对抗样本，输入给目标模型，输出攻击的成功率。

所述的数据采集模块、识别深度学习模型模块、等价模型生成模块和对抗样本生成模块依次连接。

本说明书实施例所述的内容仅仅是对发明构思的实现形式的列举，本发明的保护范围不应当被视为仅限于实施例所陈述的具体形式，本发明的保护范围也及于本领域技术人员根据本发明构思所能够想到的等同技术手段。

Claims (6)

1.一种基于测信道信息的深度神经网络黑盒对抗样本生成方法，其特征在于：包括以下步骤：

S1：在嵌入式智能设备上运行各种常见的深度学习模型，同时采集设备运行时的各种功耗数据；

S2：基于侧信道攻击来识别深度学习模型的基本网络结构；

S3：利用识别出的网络结构生成等价模型；

S4：使用训练的等价模型生成对抗样本。

2.如权利要求1所述的一种基于测信道信息的深度神经网络黑盒对抗样本生成方法，其特征在于：所述步骤S1具体包括：

实时地采集不同深度学习模型运行时的电流和电压数据，电流数据和电压数据相乘得到功率数据，然后对功率数据取均值、中值、方差。

3.如权利要求1所述的一种基于测信道信息的深度神经网络黑盒对抗样本生成方法，其特征在于：所述步骤S2具体包括：

S2.1：深度神经网络包括卷积层conv、池化层pl、激活函数层ac和全连接层fc，它们的功耗定义如下：

P_ac(C,L,W)＝p_acαCLW (3)

P_fc(X,Y)＝p_mXY+p_aXY (4)

其中P_conv为卷积层功耗、P_pl为池化层功耗、P_ac为激活函数层功耗、P_fc为全连接层功耗；p_m为乘法功耗系数、p_a为加法功耗系数、p_c为比较功耗系数、p_ac为激活函数功耗系数；C、W、L分别为输入的长宽高，F为卷积核的大小，S为滤波步长，N为滤波器个数，X为第一个全连层的神经元个数，Y是输出神经元的个数；

S2.2：不同的深度学习模型在嵌入式智能设备上运行时消耗的功率也不同，可以根据功耗轨迹使用适当的机器学习算法识别模型结构。

4.如权利要求1所述的一种基于测信道信息的深度神经网络黑盒对抗样本生成方法，其特征在于：所述步骤S3具体包括：

S3.1：首先从数据集中随机选取100个样本建立训练集，该模型没有关于目标模型训练集的先验知识，然后使用目标设备为训练集生成标签，将训练集样本按顺序输入目标设备，得到相应的标签；

S3.2：基于雅可比矩阵对用来训练等价模型的数据集进行扩增，公式如下：

S_ρ+1＝{x+λ·sign(J_F[O(x)]):x∈S_ρ)}∪S_ρ (5)

其中x为原始图像，S_ρ为当前训练集，S_ρ+1为新的训练集，J_F[·]为等价模型的雅可比矩阵，O(x)为训练样本的预测标签，sign(·)为符号函数，λ∈(0,1]是调优参数；

S3.3：使用扩增的训练集，训练等价模型。

5.如权利要求1所述的一种基于测信道信息的深度神经网络黑盒对抗样本生成方法，其特征在于：所述步骤S4具体包括：

S4.1：训练出等价模型后，然后使用快速梯度标志攻击(FGSM)模型生成对抗样本，其添加的扰动计算公式如下：

其中η为添加的扰动，θ为模型参数，y为对抗样本的标签，J(θ,x,y)为代价函数，ε∈(0,1]为标量；

S4.2：把生成的对抗样本，输入给目标模型，输出攻击的成功率。

6.实现权利要求1所述的一种基于测信道信息的深度神经网络黑盒对抗样本生成方法的系统，包括：数据采集模块、识别深度学习模型模块、等价模型生成模块和对抗样本生成模块；

所述数据采集模块在嵌入式智能设备上运行各种常见的深度学习模型，同时采集设备运行时的各种功耗数据，然后对功耗数据取均值、中值、方差；

所述识别深度学习模型模块基于侧信道攻击来识别深度学习模型的基本网络结构，具体包括：深度神经网络包括卷积层、池化层、激活函数层和全连接层，而每一层在运行时消耗的功耗不同，所以不同的深度学习模型在嵌入式智能设备上运行时消耗的功耗也不同，可以根据功耗轨迹使用适当的机器学习算法识别模型结构；

所述等价模型生成模块利用识别出的网络结构生成等价模型，具体包括：首先从数据集中随机选取100个样本建立训练集，该模型没有关于目标模型训练集的先验知识，然后使用目标设备为训练集生成标签，这样就得到了训练等价模型的100训练集，然后使用雅可比矩阵对用来训练等价模型的数据集进行扩增，最后使用扩增的训练集，训练等价模型；

所述对抗样本生成模块使用训练的等价模型生成对抗样本，具体包括：生成等价模型后，然后使用快速梯度标志攻击(FGSM)模型生成对抗样本，把生成的对抗样本，输入给目标模型，输出攻击的成功率；

所述的数据采集模块、识别深度学习模型模块、等价模型生成模块和对抗样本生成模块依次连接。

Images