深度学习模型的预测结果隐含了模型的相关信息。模型窃取攻击允许攻击者利用目标黑盒模型的输出训练一个与其功能相同的替代模型,威胁深度学习模型应用和部署的安全。研究这类攻击对于更全面评估模型面临攻击的风险,改进模型部署方式以提高防御能力有着重要的意义。模型窃取攻击首先需要获取大量的样本数据,然后通过请求目标模型来获取对应的标签构造数据集,最后利用该数据集训练替代模型。因此攻击的效果很大程度上取决于样本的质量。虽然当前针对模型窃取方法的研究取得了一定的进展,但是仍然存在以下问题:1、为保证样本质量,已有的模型窃取方法大多假定了攻击者可以获取目标模型的部分训练数据,或相关的替代数据集,对于更普遍的无数据场景缺乏研究;2、在无数据场景下,生成的样本容易出现分布集中,样本类别不平衡的问题,限制了替代模型预测精度的提升。针对上述问题,本文提出了一种基于生成对抗网络的模型窃取方法——GBMS,GBMS允许攻击者在没有真实数据的情况下训练替代模型,完成对目标黑盒模型的窃取任务。GBMS通过引入对抗生成网络来解决样本来源问题,同时为使得获取的样本具有较大的分布差异,除了向生成器输入噪声外还输入一组标签数据,并利用最大化互信息技术,不断增大标签和生成样本之间的关联程度。该机制使得可以通过控制输入生成器标签的值来获取不同数据分布的样本,解决生成样本不平衡,数据分布过于集中的问题。实验结果表明,本文所提出的GBMS攻击方法可以很大程度上改善样本不平衡问题,有效提高了替代模型的窃取成功率,并优于当前较新的模型窃取技术。同时,本文还针对GBMS攻击训练得到的替代模型生成对抗样本,并验证了利用该对抗样本进一步向目标模型发起攻击的可行性。