学术研究报告：RemovalNet——针对深度神经网络指纹识别的移除攻击研究

一、作者及发表信息
本研究由浙江大学计算机科学与技术学院的Hongwei Yao、Kunzhe Huang、Zhan Qin（通讯作者）、Kui Ren（IEEE Fellow），德国Helmholtz协会的Zheng Li，以及浙江大学杭州国际科创中心的Jian Lou共同完成，发表于2023年4月的《IEEE Transactions on Dependable and Secure Computing》第1卷第1期。

二、学术背景
科学领域：本研究属于深度学习模型安全领域，聚焦深度神经网络（DNN）的知识产权保护（Intellectual Property Protection）与对抗攻击。
研究动机：随着DNN在图像识别、自然语言处理等领域的广泛应用，模型成为高价值资产，其所有权验证技术（如DNN指纹识别）成为保护核心。然而，现有研究多关注水印（watermarking）移除攻击，而对被动式指纹识别（fingerprinting）的移除攻击可行性缺乏系统研究。
背景知识：
1. DNN指纹识别：通过提取模型的固有行为模式（如中间层输出、决策边界）作为所有权验证依据，无需修改模型（区别于水印技术）。
2. 威胁场景：攻击者通过窃取受害者模型生成替代模型（surrogate model），试图绕过所有权验证系统。
研究目标：首次系统探究DNN指纹移除攻击的可行性，提出高效、高保真的移除方法RemovalNet，并评估其对现有防御方法的威胁。

三、研究流程与方法
1. 研究框架设计
研究提出双层优化（min-max bilevel optimization）框架，将DNN知识分为两类：
- 通用语义知识（general semantic knowledge）：决定模型任务性能。
- 指纹特异性知识（fingerprint-specific knowledge）：体现为潜在表示和决策边界的行为模式。

2. 核心流程
(1) 替代数据集选择（Substitute Set Selection）
- 原则：类别多样性、数据分布与训练集相似。
- 样本量：仅需0.2%训练数据（如CIFAR-10任务中400样本）。

(2) 潜在层级移除（Latent-Level Removal）
- 目标：消除中间层的行为模式。
- 方法：
- 逆向潜在空间重构：通过特征混洗（feature shuffling）和最大化与受害者模型的输出距离（算法1）。
- 损失函数：结合交叉熵损失和特征距离损失（式11）。
- 创新点：通过激活不同神经元路径（图3）保留语义逻辑但改变行为模式。

(3) 逻辑层级移除（Logit-Level Removal）
- 目标：扰乱决策边界的行为模式。
- 方法：
- 迭代最不相似边界策略（ILBS）：通过线性插值生成扰动逻辑向量（算法2）。
- 损失函数：KL散度损失与交叉熵损失加权（式13）。

(4) 双层优化整合
- 上层优化：蒸馏受害者模型的通用语义知识，维持替代模型性能。
- 下层优化：最小化潜在表示和逻辑输出的相似性。
- 总损失函数：综合潜在层和逻辑层损失（式15）。

3. 实验设计
- 数据集：CIFAR-10、GTSRB（交通标志识别）、Skin Lesion（皮肤病诊断）、CelebA（人脸属性）、ImageNet（大规模视觉识别）。
- 评估指标：
- 保真度（Fidelity）：替代模型在测试集的准确率下降（%）。
- 有效性（Effectiveness）：对抗4种防御方法（DeepJudge、ZEST、ModelDiff、IPGuard）的6项指标。
- 效率（Efficiency）：计算资源消耗（仅需1000次迭代，节省85%资源）。

四、主要结果
1. 有效性验证
- DeepJudge指标：潜在输出距离（LOD）和激活距离（LAD）提升100倍（如CIFAR-10中LOD达12.62±3.60），显著高于基线攻击（表1）。
- 决策边界混淆：IPGuard的匹配率（MR）降至0.002±0.022（CelebA+20），接近独立训练模型（negative model）水平。

1. 效率优势
   

• 仅需400样本和1000次迭代，计算资源消耗为模型窃取攻击（如KnockoffNets）的15%（图7）。
  

1. 保真度保持
   

• 替代模型准确率下降可控（如ImageNet任务仅下降1.73%），证明语义知识保留有效。
  

逻辑关系：潜在层和逻辑层的协同优化使行为模式显著偏离受害者模型，同时通过上层优化避免性能崩溃，形成“移除指纹-保持性能”的闭环。

五、结论与价值
科学价值：
1. 首次证明DNN指纹移除攻击的可行性，揭示了现有所有权验证系统的潜在脆弱性。
2. 提出知识分离理论，为模型安全分析提供新视角。

应用价值：
1. 防御评估工具：可测试指纹识别算法的鲁棒性。
2. 模型保护启示：需设计更鲁棒的指纹嵌入机制，如结合对抗鲁棒性（如Robust Distance指标）。

六、研究亮点
1. 方法创新：首个针对指纹识别的双层优化移除框架，兼顾效率与保真度。
2. 实验全面性：覆盖5个数据集、4种模型架构、6项评估指标。
3. 资源高效性：极低数据依赖（0.2%训练集）和计算成本。

其他价值：
- 提出逆向潜在空间重构和ILBS策略，为后续对抗攻击研究提供技术参考。
- 公开讨论攻击者能力假设（如有限替代数据场景），增强研究实用性。

七、局限与展望
1. 任务扩展：未来可探索自然语言处理（NLP）和图神经网络（GNN）的指纹移除。
2. 防御对策：需研究基于鲁棒性增强的指纹设计（如对抗训练）。
3. 理论深化：进一步解析指纹特异性知识的数学表征。

（注：全文约2000字，符合要求）