深度神经网络被广泛用于图像和语音识别。为了提高性能，趋势是使用大型训练数据集和大量参数，这导致存储需求增加和训练复杂性提高，限制了其在许多设备上的部署。为了解决这些问题，主要服务提供商提供了机器学习即服务（MLaaS），在云中托管模型并提供预测接口。然而，研究表明这些看似安全的黑盒模型容易受到窃取[1]，威胁数据隐私和知识产权。因此，研究针对模型窃取的防御措施至关重要。

部署在云中的模型（称为受害者模型）处理输入以生成预测向量。模型窃取和防御策略的重点在于这些向量。攻击者设计特定样本从受害者模型中提取决策信息，以便训练类似的替代模型。为了对抗这一点，防御者直接或间接地扰动预测向量，以最小化信息泄露并降低替代模型的准确性。

然而，现有的模型窃取防御方法面临几个挑战。首先，对攻击样本的强烈假设将防御措施限制在特定攻击上，降低了它们的有效性。例如，Lee等人[2]和Zhang等人[3]使用分布外（OOD）检测[4]对查询样本进行分类，并调整了受害者模型预测向量中的扰动。同时，Guo等人[5]和Liang等人[6]使用OOD样本重新训练模型，通过模型的拟合能力来识别它们。这些方法假设攻击样本和良性样本之间存在明显的分布差异。然而，一些攻击（如JBDA[7]）生成的样本与良性样本非常相似，使得分布区分变得复杂，削弱了这些防御措施。此外，Orekondy等人[8]和Mazeika等人[9]提出通过重定向替代模型中的梯度来误导参数更新。然而，这种策略假设攻击者同时提交所有查询，这是不现实的。其次，向预测向量添加扰动需要复杂的防御处理模块，导致受害者模型的预测计算开销增大和响应时间延迟。例如，Lee等人[2]、Cheng等人[10]和Jiang等人[11]重新映射了所有输出向量，而Wang等人[12]、Zhang等人[13]和Wang等人[14]转换了输入样本，间接扰动了预测输出。此外，Gong等人[15]开发了多个模糊模型多次预测样本，使用投票机制来确定结果。这些方法由于输入输出遍历、样本转换、预测向量重新映射和重复模型预测而产生显著的计算成本，从而严重影响模型的正常使用。

为了解决这些挑战，本文介绍了PDB（保护决策边界），这是一种旨在防御模型窃取的模型训练方法。深度神经网络的准确预测依赖于根据决策边界对输入样本进行分类。因此，保护这些边界对于防止模型窃取至关重要。PDB通过在训练期间将输入梯度惩罚集成到损失函数中来实现这一点，将决策边界从良性样本中移开，防止干扰正常预测。其次，在决策边界附近生成过渡样本，并将其指定为“恶意类别”。最后，在输出层添加用于预测这些“恶意类别”的神经元，使用原始样本和恶意样本重新训练模型。在实际应用中，对恶意预测应用标签翻转，而良性预测则正常输出。PDB不假设特定的攻击样本，而是保护决策边界——模型窃取的主要目标——从而提供更全面的防御。此外，PDB避免了复杂的扰动模块，直接输出预测结果，并通过仅对少数样本翻转标签来最小化延迟。

总之，本研究提出了三个主要贡献：

1.

提出了一种基于模型内部推理过程的模型窃取防御方法，消除了对复杂输入或输出防御处理模块的需求，并减少了预测延迟。

2.

设计了一种DNN训练机制，包括输入梯度惩罚和过渡样本拟合。它抑制了输入变化的干扰，以识别攻击样本并保护良性样本。扩展的模型结构适应过渡样本，创建了防止模型窃取的防御能力。

3.

通过全面的实验验证了该方法的有效性，为每个设计决策提供了重要证据。

本文的结构如下：第2节回顾了针对模型窃取的防御措施的先前研究。第3节介绍了框架并详细解释了方法论。第4节分析了实验结果，证明了防御措施的有效性。第5节讨论了潜在的局限性并提出了未来研究的方向。最后，第6节总结了本文。