當(dāng)前，很多深度學(xué)習(xí)模型嵌入到了移動 APP 中。雖然在設(shè)備上執(zhí)行機器學(xué)習(xí)有助于改善延遲、連通性與功耗，但 APP 內(nèi)置的大多數(shù)深度學(xué)習(xí)模型可以通過逆向工程輕易獲得，從而更易于招致對抗性攻擊。本文研究者提出了一種簡單卻有效的攻擊 APP 中深度學(xué)習(xí)模型的方法，并在實驗中得到了驗證。

如今，手機充斥著我們生活的方方面面，從指紋解鎖、到注視喚醒、到人臉支付，在我們享受科技帶來的便捷生活的時候，你有沒有想過—當(dāng)你在凝視手機的時候，它也在凝視著你？它學(xué)習(xí)你的個人 ID—指紋、聲紋、面部特質(zhì)、虹膜等等，并在幾秒鐘內(nèi)完成解鎖、支付。而這一系列動作都源自于深度學(xué)習(xí)。

深度學(xué)習(xí)是機器學(xué)習(xí)領(lǐng)域中一個新的研究方向，它被引入機器學(xué)習(xí)使其更接近于最初的目標—人工智能。深度學(xué)習(xí)模型（DL model）是將訓(xùn)練好的深度神經(jīng)網(wǎng)絡(luò)以特定的格式存儲起來，使得手機具備了深度學(xué)習(xí)的能力。那么，這個深度學(xué)習(xí)模型可靠嗎？就像人的價值觀會被扭轉(zhuǎn)，手機 APP 中的深度學(xué)習(xí)模型會不會也被攻擊，使得你的手機從此不再只忠于你一個人？

當(dāng)你手機上存儲的大量個人信息向另一個素未謀面的人敞開，你遭遇的，或許不僅僅是經(jīng)濟損失那么簡單。

在本文中，來自澳大利亞莫納什大學(xué)的研究者探究了當(dāng)今主流移動 App 中 DL 模型針對對抗性攻擊的魯棒性，并對部署在移動 App 中的 DL 模型進行了深度分析，如模型特點、模型關(guān)系和訓(xùn)練方法等。

特別地，研究者提出通過識別 TensorFlow Hub 中的高度相似預(yù)訓(xùn)練模型，并利用對抗性攻擊來破解深度學(xué)習(xí)模型。這種方法雖然簡單卻有效，在實驗中成功地攻擊了 10 個真實安卓 App。

本文作者包括黃宇津（Yujin Huang）、胡晗（Han Hu）、陳春陽（Chunyang Chen） 。該論文已被第四十三屆國際軟件工程大會 ICSE 2021 SEIP 接收。

論文地址：https://arxiv.org/abs/2101.04401

GitHub：https://github.com/Jinxhy/AppAIsecurity

大數(shù)據(jù)探索移動 App 中的 DL 模型

論文從 Google Play 上爬取了 62,822 個熱門安卓移動應(yīng)用以研究其中 DL 模型的使用情況。對于每個爬取的 App，作者使用其設(shè)計的自動化工具（圖 1）識別并抽取 App 中的 DL 模型。

圖 1：對抗性攻擊 pipeline 分析的總體工作流程。

下表 1 具體描述了當(dāng)今流行的 App 中使用 DL 的具體情況。顯而易見，包含 DL 模型的移動 App 已經(jīng)覆蓋了人們?nèi)粘Ｉ钪猩婕暗降拇蠖鄶?shù)應(yīng)用分類 （圖像分類尤為突出），并且一個 App 中通常含有多個 DL 模型。

表 1：TFLite DL App 和模型的數(shù)量。

探究移動 App 上 DL 模型之間的關(guān)系

從上表 1 可以看出，大多數(shù)移動 App 上的 DL model 都在執(zhí)行計算機視覺相關(guān)的任務(wù)，那么他們之間有沒有潛在的聯(lián)系呢？研究者通過自動化工具對其進行驗證并發(fā)現(xiàn)在移動 App 上的 DL 模型之間存在相似性，甚至有一些模型完全一樣。

下圖 2 具體描述了模型之間的相似關(guān)系， 圖中的每一個節(jié)點代表一個從 App 中抽取的模型，節(jié)點之間線的粗細代表模型之間的相似度，線越粗代表相似度越高。

圖 2：設(shè)備內(nèi)置 DL 模型之間的關(guān)系。

探究移動 App 上 DL 模型相似的原因

模型之間的相似是什么原因造成的呢？是特殊的訓(xùn)練方法還是存在模型盜用？

通過自動化工具對移動 App 上 DL 模型與 TensorFlow Hub 上開源的預(yù)訓(xùn)練 DL 模型進行比較，研究者發(fā)現(xiàn)模型之間的相似是由于采用遷移學(xué)習(xí)導(dǎo)致的。

下表 2 具體描述了采用遷移學(xué)習(xí)的 DL 模型的數(shù)量和對應(yīng)的預(yù)訓(xùn)練 DL 模型的類型，其中 MobileNet 是最為常用的預(yù)訓(xùn)練 DL 模型。

表 2：微調(diào) TFLite DL 模型的數(shù)量。

探究移動 App 上 DL 模型針對對抗性攻擊的魯棒性

基于前面的分析，我們即可知道移動 App 上的 DL 模型執(zhí)行的具體任務(wù)并且知道其采用的預(yù)訓(xùn)練 DL 模型的類型。利用這兩個特性，研究者設(shè)計了一種基于對抗性攻擊的新型攻擊方法。

為了驗證其可行性和有效性，研究者對 10 個具有代表性的移動 App 上的 DL 模型進行了攻擊。下表 3 詳細描述了10 個被選取的 App、及其 DL 模型和對應(yīng)的功能。

下表 4 詳細描述了新型攻擊方法基于不同 DL 模型的攻擊成功率, 結(jié)果表明所有 DL 模型均被成功攻擊。

通過實驗可以看出，所有的選取的移動 App 中的 DL 模型都被成功攻擊。這證明目前 DL 在移動 App 中的安全性還需要進一步的提高，比如改進遷移學(xué)習(xí)的方法、對模型加密防止被抽取和對模型進行對抗性訓(xùn)練等。