深度学习白盒攻击：隐私泄露与中央集联及联邦学习防御

本文档"Deep Learning Privacy Shokri-SP2019.pdf"深入探讨了深度学习模型的隐私问题。随着深度神经网络在众多领域的广泛应用，它们的训练数据敏感性成为关注焦点。研究者们针对这一现象设计了白盒（white-box）推理攻击，这是一种对深度学习模型进行全面隐私分析的手段。 白盒攻击假设攻击者拥有模型的完整内部结构和参数，能够利用这些信息来推断训练数据的特征或是否存在特定样本。作者不仅测量了完全训练模型的参数泄露，还关注了模型在训练过程中的参数更新，因为这些更新可能揭示了训练数据的痕迹。他们分别设计了针对集中式（centralized）学习和联邦学习（federated learning）的攻击策略，同时考虑了被动（passive）和主动（active）攻击者的不同场景和敌手的先验知识。 在实验部分，作者提出了新颖的白盒成员资格（membership）推理攻击，这种攻击能够追踪深度学习算法是否包含特定训练数据记录。他们指出，将已知的黑盒攻击方法扩展到白盒环境并非易事，因为白盒攻击需要更精细的分析和模型内部的深入洞察。 这项研究的重要性在于，它揭示了深度学习模型在保护用户隐私方面的挑战，并为安全研究人员提供了评估和改进隐私保护策略的工具。通过量化隐私泄漏程度，本文的研究成果有助于推动业界对隐私保护技术的发展，如差分隐私（differential privacy）、模型压缩（model compression）以及安全多方计算（secure multi-party computation）等，以减小深度学习应用中的隐私风险。