没有合适的资源?快使用搜索试试~ 我知道了~
首页毒化数据攻击:机器学习模型的隐私与安全风险
本文探讨了一种新颖的威胁,即“毒化机器学习模型”,这是一种针对机器学习系统隐私和完整性的新类型攻击。研究人员弗洛里安·T·拉梅尔、礼萨·肖克里、Ayrton San Joaquin等人来自瑞士联邦理工学院、俄勒冈州立大学、新加坡国立大学和谷歌团队,他们揭示了对手通过污染训练数据集,可能对基于这些数据训练的模型造成严重影响。 攻击的核心是所谓的“主动推理攻击”,它结合了成员推理、属性推理和数据提取的技术。成员推理攻击允许攻击者从模型行为中推断出参与训练的数据点所属的个体,即使只占训练数据极小比例(如0.1%)的污染也可能显著降低这种推断的难度,降低1到2个数量级。属性推理则涉及从模型中获取关于个体特征的信息,这可能导致敏感隐私数据的泄露。 更为惊人的是,即使控制住训练数据的一半,攻击者也能发起无针对性的攻击,对所有其他用户的数据进行更精确的推断,挑战了当前加密优先级策略在多方计算协议中的有效性。这意味着,即使各方试图保护自己的数据隐私,通过选择合适的训练数据份额,攻击者仍能利用模型的训练过程来揭示隐私信息。 这项研究的结果对于设计和实施机器学习系统的安全性具有重要意义,强调了在多方计算场景中,单纯依赖加密可能不足以防止此类数据泄露。文章还提到了ACM SIGSAC计算机和通信安全会议(CCS'22)的相关记录,展示了研究成果的学术背景和出处,以及对关键词“机器学习”、“中毒”、“隐私”和“成员推理”的讨论。 这篇论文揭示了机器学习模型面临的新型隐私威胁,并提出了一种全新的攻击范式,这将促使安全专家重新评估现有的防御策略,并推动更深层次的隐私保护措施在机器学习领域的研发。
资源详情
资源推荐
|
U
|
(
U
)
−
()
下一
页
()
下一
页
∪
()
下一
页
()
下一
页
()
下一
页
()
下一
页
()
下一
页
(
|
U
|
)
联系我
们
()
下一
页
∪
−
CCS
我们不限制对手的毒药是隐形的。也就是说,我们允许
中毒的数据集
是
任意的。 正如我们将看到的,设计最大化
隐私泄漏的中毒攻击是不平凡的
即使对手在他们的毒药选择
上没有限制。由于迄今为止尚未研究针对数据隐私的中毒攻
击,我们的目标是了解这种攻击在最坏情况下的有效性
最后,游戏假设对手的目标是一个特定的
例子
。我们称之为
有
针对性的攻击
。我们还在第
节中考虑了
非目标
攻击,其中
攻击者制作了一个有毒的数据集
损害训练集中所有样本的隐私
。
3.1.2
成功案例
当秘密值的宇宙很小
时(对于成员推断,其中
= ,或者对于属性
推断,其中它是属性的基数),我们
通过游戏的多次迭代的真阳性率(
)和假阳性率(
)来衡量攻
击的成功率。在
之后,我们特别关注低误报率下的攻击性能
(例如,
。
),它衡量攻击
的倾向,以精确地针对一些最
坏情况的用户的隐私。
对于
成员推断
,我们自然地将真阳性
定义为成员的正确猜
测,即,当时,以及作为不正确的成员猜测的假阳性,
当
=
时。对于属性推断,我们定义一个
肯定的
作为一个例
子,具有未知属性的特定值(例如,如果未知
属性是性别,我们将
女性
定义
对于金丝雀提取,其中可能的目标值的范围很大(例如,
所有可能的信用卡号码),我们修改游戏,让对手获得部
分信贷
发出
多猜测
。具体来说,在
之后,我们让
输出秘密的
排序
(置换)
可能值,从最可能到最不可能。然后,我们通过正确信息的
暴露 (以比特为单位)来衡量攻击
经训练的模型
非常
强地记忆目标(即,
该模型将
以非常高的置
信度正确地分类)。然而,这在两个世界中都是正确的,不
管目标对象
是否在原始训练集中。因此,这种策略并不能
帮
助对手解决区分博弈,事实
,它使区分成员
更加困难
相反,对手应该改变训练集,以最大限度地提高目标的
影
响力
。也就是说,我们希望中毒的训练集
是这样的,
目标,的包含在训练模型的行为中提供了对手选择的一些输
入的最大
变化
为了说明这一原则,我们首先展示了一个可证明
完美
的隐私中
毒攻击的特殊情况下,最近
邻分类器。我们还在附录
中提出了
一种针对
的替代攻击然后,我们描述了我们
对深度神经网络
进行经验攻击的设计原则。
预热:可证明地放大了
kNN
中的成员泄漏
考虑
最近邻(
)分类器(假设,
wlog.
,
的
是奇数)。给定一个带标签的训练集和一个测试样本,该分
类器找到在
中的
的最近邻居,并输出这些
的邻居中的多数
标签我们假设攻击者对训练好的分类器有黑盒查询访问权
限。
我们演示了如何毒害一个
分类器,使分类器标记一个
目标的例子,正确
的,当且仅当
目标是在原始的训练集。
因此,这种攻击可以让
对手以
的准确率赢得成员推理游戏。
我们的中毒攻击(参见附录中的算法)创建了一个大小
为
的数据
集,其中包含
目标的
个副本
,一半正确标
记为,另一半错误标记为
“
”“。我们进一步添加一个中毒
的例子
′
,距离很小,也被错误标记为
′
(我们假设训练集中没
有其他点
在这种攻击最大化了
影响力
目标点,把它变成一个决胜局,
当它是一个成员时,
秘密秘密:
)
(
|
U
|
)
−
.
等级
(
二)
攻击者推断目标示例是成员,当且仅当训练的模型正确
地分类
为类
。要看到攻击的效果,考虑两个可能的世界:
暴露的范围从
位(当正确的秘密密钥被排序时
作为最不可能的值),记录
位(当对手最可能的猜测
是正确的值时
)
。
3.2
攻击概述
我们首先从一个高层次的概述我们的中毒攻击战略
。为了简单的
阐述,我们专注于成员推理的特殊情况。我们的攻击属性推
断和金丝雀提取遵循类似的原则。
给定一个目标样本
,
则标准隐私博弈(对于
游戏中的推断)要求对手区分
两个世界,其中模型
分别在
或
上训练
。当我们在博弈
中赋予对手毒害数据集的能力
时,我们的目标是改变数据集,以便更容易区分上述两个世
界。
请注意,这个目标与简单地最大
化模型这可以通过以下
(坏的)策略来实现:通过向数据集添加多个相同的副本
(,)来毒害数据集。这将确保
目标在
中:中毒训练集中有的个
副本
:
个中毒副
本(一半被正确标记)和目标,。因此,邻居中的多
数投票产生正确的类。
目标不在
目标内:由于目标内的所有点与目标的距离
都至少为
,因此模型选择的目标相邻点是对手
因此,该模型输出
“
。
在附录中,我们证明了我们的攻击是不平凡的,因为
存在
需要中毒以实现完美成员推理的点。事实上,我们表明,对于某
些点,一个非中毒对手不能推断成员比机会。
放大深度神经网络中的隐私泄露上述
对的攻击利用了
分类器
的特定结构,这使我们能够将任何示例的成员资格变成模
型对该示例的决策的完美平局决胜局。 在深度神经网络中,
示例
不太可能表现出如此明显的影响力
·
·
剩余15页未读,继续阅读
cpongm
- 粉丝: 5
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- JDK 17 Linux版本压缩包解压与安装指南
- C++/Qt飞行模拟器教员控制台系统源码发布
- TensorFlow深度学习实践:CNN在MNIST数据集上的应用
- 鸿蒙驱动HCIA资料整理-培训教材与开发者指南
- 凯撒Java版SaaS OA协同办公软件v2.0特性解析
- AutoCAD二次开发中文指南下载 - C#编程深入解析
- C语言冒泡排序算法实现详解
- Pointofix截屏:轻松实现高效截图体验
- Matlab实现SVM数据分类与预测教程
- 基于JSP+SQL的网站流量统计管理系统设计与实现
- C语言实现删除字符中重复项的方法与技巧
- e-sqlcipher.dll动态链接库的作用与应用
- 浙江工业大学自考网站开发与继续教育官网模板设计
- STM32 103C8T6 OLED 显示程序实现指南
- 高效压缩技术:删除重复字符压缩包
- JSP+SQL智能交通管理系统:违章处理与交通效率提升
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功