机器学习模型窃取检测系统：多算法防御框架与实战策略

本文介绍一个开源的模型窃取检测框架，涵盖熵基检测、孤立森林、单类SVM等多种检测方法，以及速率限制、响应随机化等防御机制，帮助开发者保护机器学习API免受恶意复制攻击。

• 原作者/维护者: kryptologyst
• 来源平台: GitHub
• 原始标题: Model-Stealing-Detection-System
• 原始链接: https://github.com/kryptologyst/Model-Stealing-Detection-System
• 发布时间: 2026年6月7日

---

随着机器学习模型即服务（MLaaS）模式的普及，越来越多的企业和研究机构通过API接口对外提供模型推理能力。这种模式在带来便利的同时，也引入了新的安全威胁——模型窃取攻击（Model Extraction Attack）。

攻击者可以通过大量查询目标API，收集输入-输出样本对，然后利用这些样本来训练一个功能相似的替代模型。这种攻击的危害在于：

• 知识产权损失：模型本身可能是企业核心竞争力的体现
• 隐私泄露风险：模型可能编码了训练数据的敏感信息
• 对抗样本迁移：窃取的模型可用于生成对抗样本，攻击原始服务
• 绕过安全限制：攻击者可以在本地副本上测试攻击策略

因此，开发有效的模型窃取检测和防御机制，对于保护机器学习系统的安全至关重要。

---

本项目是一个综合性的研究与教育框架，提供从检测、防御到评估的完整解决方案。系统采用模块化设计，包含以下核心组件：

为了模拟真实攻击场景，项目实现了合成数据生成器，可以生成包含合法用户和窃取攻击者的混合数据集。生成器支持配置：

• 合法用户数量与行为模式
• 攻击者数量与攻击策略
• 特征维度与分布特性
• 时间序列特性（查询频率、会话模式）

检测系统的关键在于提取能够区分正常查询和窃取查询的有效特征。项目实现了丰富的特征工程模块：

基础统计特征：

• 查询特征的均值、标准差、最值、分位数
• 分布特征：偏度、峰度、正态性检验

时序特征：

• 查询频率与间隔分布
• 滑动窗口统计量
• 查询相似度时序变化

异常检测特征：

• 孤立森林异常分数
• 局部异常因子（LOF）
• 单类SVM异常分数

行为特征：

• 用户级别的查询模式分析
• 会话级别的行为特征

---

项目实现了五种互补的检测方法，覆盖了从传统机器学习到深度学习的多种技术路线：

基于信息论原理，该检测器通过分析查询序列的熵值来识别异常模式。正常用户的查询通常具有较高的随机性和多样性，而模型窃取攻击往往表现出系统性的查询模式，导致熵值异常。

核心思想：

• 计算查询特征分布的熵
• 设定熵阈值区分正常与异常
• 低熵查询序列标记为可疑