當(dāng)前，很多深度學(xué)習(xí)模型嵌入到了移動(dòng) APP 中。雖然在設(shè)備上執(zhí)行機(jī)器學(xué)習(xí)有助于改善延遲、連通性與功耗，但 APP 內(nèi)置的大多數(shù)深度學(xué)習(xí)模型可以通過(guò)逆向工程輕易獲得，從而更易于招致對(duì)抗性攻擊。本文研究者提出了一種簡(jiǎn)單卻有效的攻擊 APP 中深度學(xué)習(xí)模型的方法，并在實(shí)驗(yàn)中得到了驗(yàn)證。

如今，手機(jī)充斥著我們生活的方方面面，從指紋解鎖、到注視喚醒、到人臉支付，在我們享受科技帶來(lái)的便捷生活的時(shí)候，你有沒(méi)有想過(guò)—當(dāng)你在凝視手機(jī)的時(shí)候，它也在凝視著你？它學(xué)習(xí)你的個(gè)人 ID—指紋、聲紋、面部特質(zhì)、虹膜等等，并在幾秒鐘內(nèi)完成解鎖、支付。而這一系列動(dòng)作都源自于深度學(xué)習(xí)。

深度學(xué)習(xí)是機(jī)器學(xué)習(xí)領(lǐng)域中一個(gè)新的研究方向，它被引入機(jī)器學(xué)習(xí)使其更接近于最初的目標(biāo)—人工智能。深度學(xué)習(xí)模型（DL model）是將訓(xùn)練好的深度神經(jīng)網(wǎng)絡(luò)以特定的格式存儲(chǔ)起來(lái)，使得手機(jī)具備了深度學(xué)習(xí)的能力。那么，這個(gè)深度學(xué)習(xí)模型可靠嗎？就像人的價(jià)值觀會(huì)被扭轉(zhuǎn)，手機(jī) APP 中的深度學(xué)習(xí)模型會(huì)不會(huì)也被攻擊，使得你的手機(jī)從此不再只忠于你一個(gè)人？

當(dāng)你手機(jī)上存儲(chǔ)的大量個(gè)人信息向另一個(gè)素未謀面的人敞開(kāi)，你遭遇的，或許不僅僅是經(jīng)濟(jì)損失那么簡(jiǎn)單。

在本文中，來(lái)自澳大利亞莫納什大學(xué)的研究者探究了當(dāng)今主流移動(dòng) App 中 DL 模型針對(duì)對(duì)抗性攻擊的魯棒性，并對(duì)部署在移動(dòng) App 中的 DL 模型進(jìn)行了深度分析，如模型特點(diǎn)、模型關(guān)系和訓(xùn)練方法等。

特別地，研究者提出通過(guò)識(shí)別 TensorFlow Hub 中的高度相似預(yù)訓(xùn)練模型，并利用對(duì)抗性攻擊來(lái)破解深度學(xué)習(xí)模型。這種方法雖然簡(jiǎn)單卻有效，在實(shí)驗(yàn)中成功地攻擊了 10 個(gè)真實(shí)安卓 App。

本文作者包括黃宇津（Yujin Huang）、胡晗（Han Hu）、陳春陽(yáng)（Chunyang Chen） 。該論文已被第四十三屆國(guó)際軟件工程大會(huì) ICSE 2021 SEIP 接收。

論文地址：https://arxiv.org/abs/2101.04401

GitHub：https://github.com/Jinxhy/AppAIsecurity

大數(shù)據(jù)探索移動(dòng) App 中的 DL 模型

論文從 Google Play 上爬取了 62,822 個(gè)熱門(mén)安卓移動(dòng)應(yīng)用以研究其中 DL 模型的使用情況。對(duì)于每個(gè)爬取的 App，作者使用其設(shè)計(jì)的自動(dòng)化工具（圖 1）識(shí)別并抽取 App 中的 DL 模型。

圖 1：對(duì)抗性攻擊 pipeline 分析的總體工作流程。

下表 1 具體描述了當(dāng)今流行的 App 中使用 DL 的具體情況。顯而易見(jiàn)，包含 DL 模型的移動(dòng) App 已經(jīng)覆蓋了人們?nèi)粘Ｉ钪猩婕暗降拇蠖鄶?shù)應(yīng)用分類(lèi) （圖像分類(lèi)尤為突出），并且一個(gè) App 中通常含有多個(gè) DL 模型。

表 1：TFLite DL App 和模型的數(shù)量。

探究移動(dòng) App 上 DL 模型之間的關(guān)系

從上表 1 可以看出，大多數(shù)移動(dòng) App 上的 DL model 都在執(zhí)行計(jì)算機(jī)視覺(jué)相關(guān)的任務(wù)，那么他們之間有沒(méi)有潛在的聯(lián)系呢？研究者通過(guò)自動(dòng)化工具對(duì)其進(jìn)行驗(yàn)證并發(fā)現(xiàn)在移動(dòng) App 上的 DL 模型之間存在相似性，甚至有一些模型完全一樣。

下圖 2 具體描述了模型之間的相似關(guān)系， 圖中的每一個(gè)節(jié)點(diǎn)代表一個(gè)從 App 中抽取的模型，節(jié)點(diǎn)之間線的粗細(xì)代表模型之間的相似度，線越粗代表相似度越高。

圖 2：設(shè)備內(nèi)置 DL 模型之間的關(guān)系。

探究移動(dòng) App 上 DL 模型相似的原因

模型之間的相似是什么原因造成的呢？是特殊的訓(xùn)練方法還是存在模型盜用？

通過(guò)自動(dòng)化工具對(duì)移動(dòng) App 上 DL 模型與 TensorFlow Hub 上開(kāi)源的預(yù)訓(xùn)練 DL 模型進(jìn)行比較，研究者發(fā)現(xiàn)模型之間的相似是由于采用遷移學(xué)習(xí)導(dǎo)致的。

下表 2 具體描述了采用遷移學(xué)習(xí)的 DL 模型的數(shù)量和對(duì)應(yīng)的預(yù)訓(xùn)練 DL 模型的類(lèi)型，其中 MobileNet 是最為常用的預(yù)訓(xùn)練 DL 模型。

表 2：微調(diào) TFLite DL 模型的數(shù)量。

探究移動(dòng) App 上 DL 模型針對(duì)對(duì)抗性攻擊的魯棒性

基于前面的分析，我們即可知道移動(dòng) App 上的 DL 模型執(zhí)行的具體任務(wù)并且知道其采用的預(yù)訓(xùn)練 DL 模型的類(lèi)型。利用這兩個(gè)特性，研究者設(shè)計(jì)了一種基于對(duì)抗性攻擊的新型攻擊方法。

為了驗(yàn)證其可行性和有效性，研究者對(duì) 10 個(gè)具有代表性的移動(dòng) App 上的 DL 模型進(jìn)行了攻擊。下表 3 詳細(xì)描述了10 個(gè)被選取的 App、及其 DL 模型和對(duì)應(yīng)的功能。

下表 4 詳細(xì)描述了新型攻擊方法基于不同 DL 模型的攻擊成功率, 結(jié)果表明所有 DL 模型均被成功攻擊。

通過(guò)實(shí)驗(yàn)可以看出，所有的選取的移動(dòng) App 中的 DL 模型都被成功攻擊。這證明目前 DL 在移動(dòng) App 中的安全性還需要進(jìn)一步的提高，比如改進(jìn)遷移學(xué)習(xí)的方法、對(duì)模型加密防止被抽取和對(duì)模型進(jìn)行對(duì)抗性訓(xùn)練等。