申请/专利权人：齐鲁工业大学(山东省科学院);山东省计算中心(国家超级计算济南中心)

申请日：2023-12-08

公开（公告）日：2024-03-29

公开（公告）号：CN117371541B

主分类号：G06N5/04

分类号：G06N5/04;G06N5/046;G06F18/214;G06F18/2415;G06N3/0464;G06N3/084

优先权：

专利状态码：有效-授权

法律状态：2024.03.29#授权;2024.01.26#实质审查的生效;2024.01.09#公开

摘要：本发明属于数据隐私保护和数据安全的技术领域，更具体地，涉及一种零知识、免真实数据的模型推理攻击方法。所述方法包括：将目标模型的分布切分为多个部分，并构建集中分布集，集中分布集中包含多个子分布，子分布中包含随机抽样噪声；将子分布中随机抽样的噪声输入目标模型中，得到相应的预测标签，基于预测标签得到该子分布的噪声在目标分布中的累计函数，并基于累计函数估计相应的目标分布；从估计的目标分布中随机抽样噪声，并结合预测标签，构建训练样本集；利用训练样本集训练替代模型，以拟合目标模型分布，完成模型推理攻击。本发明解决了现有方法中攻击者需要知道目标模型和训练集信息才能进行攻击的局限性的问题。

主权项：1.一种零知识、免真实数据的模型推理方法，其特征在于，所述方法包括：S1：将目标模型的分布切分为多个部分，并构建集中分布集，所述集中分布集中包含用于拟合目标模型各部分分布的子分布，其中，所述子分布中包含随机抽样噪声；S2：将所述子分布中随机抽样的噪声输入目标模型中，得到相应的预测标签，基于所述预测标签得到该子分布的噪声在目标分布中的累计函数，并基于所述累计函数估计相应的目标分布；其中，基于所述累计函数估计相应的目标分布，并使用方差衡量估计误差，即有： 8；式8中，表示方差，表示从子分布抽样来估计目标函数经验平均值的估计误差，表示子分布的方差；且，当使用个子分布的累计函数估计相应的目标分布时，估计总误差为： 9；式9中，表示个子分布的估计总误差，表示第个子分布，表示从第个子分布抽样的样本输入目标函数中，'表示个子分布中的随机抽样总数，且＞；此时，得到估计的目标分布为： 10；式10中，表示子分布集，表示子分布集的期望值，表示从第个子分布中随机抽取的第个噪声样本，表示总体目标分布，表示总体目标分布的期望值；根据大数定律，得到以下等式： 11；S3：从估计的目标分布中随机抽样噪声，并结合所述预测标签，构建用于训练替代模型的训练图像样本集；S4：利用所述训练图像样本集训练所述替代模型，并基于所述替代模型的输出结果拟合目标模型分布，从而实现模型推理；其中，将所述训练图像样本集输入替代模型，所述替代模型的输出类型为纯标签输出，在该输出类型下，所述替代模型训练过程中的损失函数为： 12；式12中，表示纯标签输出下的损失函数，表示噪声样本的真实标签，表示替代模型对标签预测的概率，表示目标分布的概率分布函数，表示训练图像样本集中的样本总数，表示训练图像样本集中的样本类别总数，表示类别，的取值为0或1，表示当第个样本为类时取值为1，否则为0，表示第个样本被替代模型预测为类的概率。

全文数据：

权利要求：

百度查询： 齐鲁工业大学(山东省科学院);山东省计算中心(国家超级计算济南中心) 一种零知识、免真实数据的模型推理方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD