现在，很多深度学习模式被嵌入到移动APP中。 虽然在设备上执行机器学习有助于改善延迟、连接性和功耗，但是APP内置的许多深度学习模式通过逆向工程很容易获得，容易导致抵抗性攻击。 提出了一种简单有效的攻击APP中深度学习模型的方法，并通过实验进行了验证。

简单有效，新的抗性攻击方法成功突破了热门安卓APP的DL模型

现在手机充斥着我们生活的方方面面。 从指纹解锁、醒来、到人脸支付，当我们享受科技带来的便利生活的时候，你有没有想过&mdash？ 盯着手机的时候，也在盯着你吗？ 学习你的个人ID&mdash指纹、声纹、面部特质、虹膜等，几秒钟内解锁、支付完毕。 这一系列动作来源于深度学习。

深度学习是机器学习领域一个新的研究方向，被引入机器学习以接近最初的目标&mdash； 人工智能。 深度学习模型( DL model )以特定的形式记忆训练过的深度神经网络，使手机具有深度学习的能力。 那么，这个深度学习模式可靠吗？ 就像人的价值观扭曲一样，手机APP的深度学习模式也受到了攻击，你的手机不再只忠于你了吗？

当手机里保存的大量个人信息向另一个从未见过面的人开放时，你遭遇的可能不仅仅是经济损失。

本文中，来自澳大利亚莫纳什大学的研究人员探索了当前主流移动App中DL模型对抗性攻击的鲁棒性，并对引入移动App的DL模型进行了模型特征、模型关系、训练方法等深度分析。

特别是，有人提出了识别TensorFlow Hub中高度相似的训练模型，利用抵抗性攻击求解深度学习模型。 该方法简单但有效，实验成功攻击了10个实时安卓App。

本文作者包括黄宇津、胡晗、陈春阳。 这篇论文是在第43届国际软件工程大会ICSE 2021 SEIP上接收的。

论文地址: https:/ arxiv.org/ABS/2101.04401

github:https:/ github.com/Jinx HY /应用程序安全

大数据搜索移动App中的DL模型

论文从谷歌play上爬了62，822个热门的安卓移动应用，研究了其中DL模型的使用情况。 对于每个攀登的App，作者使用其设计的自动化工具(图1 )识别和提取App中的DL模型。

图1 :抗性攻击pipeline分析的整体工作流程。

下表1具体说明了目前流行的App中使用DL的具体情况。 显而易见，包括DL模型在内的移动App覆盖了许多与人们日常生活相关的应用程序分类(尤其是图像分类很突出)，一个App通常包含多个DL模型。

表1:TF lite dl应用程序和型号的数量。

研究移动App上的DL模型之间的关系

从上表1可以看到，大部分移动App上的DL model都在执行计算机视觉相关的任务，他们之间有潜在的联系吗？ 研究人员用自动化工具对此进行了验证，发现移动App上的DL模型之间存在相似性，有些模型完全相同。

下图2具体说明了模型之间的相似关系。 图中的各节点表示从App中提取的模型，节点间的线宽表示模型间的相似度，线越粗表示相似度越高。

图2 :设备内置DL模型之间的关系。

探索移动App上的DL模型相似的原因

模型之间的相似性是由什么引起的？ 是特殊训练方法还是有模型盗用？

用自动化工具将移动App上的DL模型和TensorFlow Hub上的开源预训练DL模型进行比较，发现模型之间的相似之处在于采用了迁移学习。

下表2具体列出了使用迁移学习的DL模型的数量和相应的预培训DL模型的类型。 其中，MobileNet是最常见的预培训DL模型。

微调TFLite DL模型的数量。

探索移动App上的DL模型对抵抗性攻击的鲁棒性

根据前面的分析，您可以了解移动App上的DL模型将执行的特定任务，并了解要使用的预培训DL模型的类型。 利用这两个特性，研究者设计了一种基于对抗性攻击的新攻击方法。

为了验证其可行性和有效性，研究者攻击了10个具有代表性的移动App上的DL模型。 下表3详细介绍了所选的10个App及其DL模型和相应的功能。

下表4详细说明了基于不同DL模型的新攻击方法的攻击成功率，表明所有DL模型都成功了。

实验表明，所有选定的移动App的DL模型都成功受到攻击。 这表明目前DL在移动App上的安全性需要进一步提高，如改进迁移学习方法、防止模型加密提取、模型抗性训练等。

【编辑推荐】