【论文笔记】Plug & Play Attacks: Towards Robust and Flexible Model Inversion Attacks

最新推荐文章于 2024-10-10 11:04:02 发布
最新推荐文章于 2024-10-10 11:04:02 发布
阅读量450 收藏
点赞数
分类专栏: 数据集重构(model inversion) 文章标签: 论文阅读
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aemilia/article/details/127368203
版权

【ICML 2022】Plug & Play Attacks: Towards Robust and Flexible Model Inversion Attacks

https://zhuanlan.zhihu.com/p/536091331

摘要

关于Model Inversion Attacks(模型反转攻击),即通过利用模型的learned knowledge,从目标分类器的私有训练数据中创造出反映class特征的合成图像。相当于从模型中提取出每种类别特定的特征。这也是很严重安全隐患,因为可能可以提取出如人脸、指纹、身份信息等敏感隐私信息,那么攻击者可以重构人脸,冒用身份……

以前的研究都是训练GAN(生成对抗网络)来作为image priors(先验)。但是存在耗时、耗力、易受数据集分布变化的影响。本文提出的Plug & Play攻击可以减少对image prior的依赖,只需要一个GAN网络即可对大范围的目标进行攻击。而且即使使用的是预训练好的GAN模型、数据分布发生很大变化也可以达到很好的攻击效果。

1 Introduction

为了解决训练过程中会出现的梯度消失的问题,使用Poincare损失函数,而不是交叉熵损失函数。加入随机转化避免过拟合。首次提出了要从攻击结果中找出有意义的样本的重要性。

2 Model Inversion in Deep Learning

介绍了以前一些攻击方法,及其缺陷。

目前有三种攻击方式:optimization-based, training-based, or architecture-based

optimization-based:通过产生合成的模型输入来找类型特征,也基于梯度下降的方法

training-based:训练GAN模型,将目标模型视作一个加密器,要找解密器

这些都不是为了获取隐私信息,只是探寻目标模型各个类别的特征

可能存在fooling image(无意义的噪点图像),out-of-distribution data(如猫狗分类中出现了一个熊猫图像)

影响因素:distributional shifts, vanishing gradients, and non-robust target models

3 Generative Model Inversion Attacks

定义了理想的MIA攻击,以及会影响MIA攻击效果的因素

假设:目标分类模型为在这里插入图片描述
,且
在这里插入图片描述

为对x是否为类c∈C的预测分数,敌手可以访问目标模型(作为white box),且无限次地问询,但并不知道C的任何信息。

敌手要构造一个合成图像x^,满足时目标类别c的特征,泄露了隐私信息。这在较浅的神经网络中可行,但是在现在流行的深层神经网络就不行了。
在这里插入图片描述

之后产生了使用GAN网络来生成样本(将特征向量z映射到图像空间),并训练鉴别器D来鉴别是否是真实样本x还是由G生成的G(z),得到等式
在这里插入图片描述

这样或许可以得到评分(yc=Mtarget(x* )c)最高的 x* = G(z*)。但是这个构造得到的x*不一定具有意义。
在这里插入图片描述

G可以拟合P(X),进而近似F(X),然后合成符合这个分布的样本x。

在这里插入图片描述

4 Towards Robust and Flexible MIAs

介绍本文提出的Plug & Play攻击方式。这种方式鲁棒性更好,也更适用于distributional shift setting分布转换设置

在这里插入图片描述

  1. 首先,latent vectors潜伏向量被采样并映射到它们的中间表征w(用预训练的StyleGAN2模型)
  2. 然后根据w生成图像,进行转换(Transformations),并输入目标模型。
  3. 最后,在目标模型的输出和目标类别c上计算Poincare损失,并通过反向传播损失和执行梯度下降步骤更新w。优化完成后,根据其对随机变换的鲁棒性,选择一个结果子集。

4.1. Target-Independent Image Priors

采用预训练的StyleGAN2模型作为图像的先验(不需要辅助输入和训练特定数据集的模型)。只需要是同一领域预训练好的模型。

这里预训练好的StyleGAN2包含2个模块:
在这里插入图片描述
会将随机的latent vector潜伏向量(服从标准正态分布)的z映射到intermediate latent representation中间潜伏向量w。
在这里插入图片描述
则根据w来生成图片

4.2. Increasing Robustness by Transformations

进行一系列的图像变换在这里插入图片描述
,并令在这里插入图片描述

优化过程中,先进行这些可导的图像变换,再输入到目标模型中得到预测分数。即在前向传播过程中计算的是
在这里插入图片描述

这样,若这些变换后的图像越接近目标分布,攻击就会越成功。而且可以增加生成的图像的鲁棒性

4.3 Overcoming Vanishing Gradients

以前的MIA都基于交叉熵损失函数,这样关于output logit的偏导为在这里插入图片描述
,容易发生梯度消失。而初始的潜伏向量又是随机产生的,随着调整,其预测分数会越来越高,导致梯度趋于消失。这样如果预先的采样不好的话,由于梯度下降的问题,对初始图像的改动就很小,攻击就会不成功。

为了解决这个问题,采用Poincaré distance作为损失函数。在这里插入图片描述
(其中||·||2是欧几里得范数)。它是一个特殊hyperbolic space(双曲空间)中的距离度量。在这个空间里面,一个圆的面积随着半径的增加指数型增加。
在这里插入图片描述

【注】欧几里得范数即L2范数

在这里插入图片描述

4.4 Selecting Meaningful Attack Results

选用的方法是transformation-based selection,即通过变换,重新计算得分,选择最高的

攻击结果可能存在误导。本文采取的方法如下:

  1. 选取大量的符合正态分布的样本z,并映射到intermediate latent space中间隐藏空间W

  2. 为每一个w生成图像在这里插入图片描述

并进行剪裁和调整大小的变换。计算平均预测分数,以及horizontally flipped counterpart with Mtarget,为每个类别c选择其中得分最高的初始图像。

  1. 根据蒙特卡罗方法

    在这里插入图片描述

    计算预期稳健预测分数,并进行N=100次随机的图像变换,选取其中得分最高的50个作为最终攻击结果。【注意】这里选取的变换要和优化过程中选取的不同或更强(否则poorly generated的样本可能会过拟合)

总结

Plug & Play攻击要解决的问题就是:

在这里插入图片描述

5 Experiments

介绍了验证Plug & Play有效性的实验,和其他攻击方法的对比

评价标准有:

  1. 在目标模型的数据集上训练Inception-v3模型,然后用该模型对攻击结果进行打分,给出在目标类别上的top-1和top-5准确率。
  2. 计算平均特征距离δeval,针对面部图像用预训练的FaceNet来测量特征距离δface,越小说明越接近训练数据。
  3. Fréchet inception distance(FID)

能会过拟合)

总结

Plug & Play攻击要解决的问题就是:

[外链图片转存中…(img-oQdfgNhu-1665997040229)]

5 Experiments

介绍了验证Plug & Play有效性的实验,和其他攻击方法的对比

评价标准有:

  1. 在目标模型的数据集上训练Inception-v3模型,然后用该模型对攻击结果进行打分,给出在目标类别上的top-1和top-5准确率。
  2. 计算平均特征距离δeval,针对面部图像用预训练的FaceNet来测量特征距离δface,越小说明越接近训练数据。
  3. Fréchet inception distance(FID)
论文笔记08】Model inversion attacks that exploit confidence information and basic countermeasures 模型反转攻击
weixin_45632492的博客
04-02 5423
目录导引系列传送Model inversion attacks that exploit confidence information and basic countermeasures1 Abstract2 Background2.1 ML basis2.2 ML APIs2.3 Threat models3 The Fredrikson et al. attack4 Map inverters for trees4.1 Decision Tree4.2 DT APIs5 Facial recogniti
浅谈模型逆向攻击(Model Inversion Attack, MIA)
liurongke的博客
01-15 4729
浅谈模型逆向攻击(Model Inversion Attack, MIA)
模型反演攻击:Neural Network Inversion in Adversarial Setting via Background Knowledge Alignment
zyz20001028的博客
05-04 6187
模型反演攻击:Neural Network Inversion in Adversarial Setting via Background Knowledge Alignment 背景 定义: 旨在通过模型的预测输出获取关于模型的训练数据或者测试数据的信息 方法 此前的模型反演攻击的方法主要有以下两类: Optimization-based approach: 把反演问题变为一个优化问题,通过梯度构建出最佳的对应于目标类的数据x^\widehat{x}x,目标是使得Fw(x)F_{w}(x)Fw​(x)
论文阅读】Reinforcement Learning-Based Black-Box Model Inversion Attacks
Yogurtboyyy的博客
06-16 677
强化学习
论文阅读Model Inversion Attacks that Exploit Confifidence Informationand Basic Countermeasures
qq_45822394的博客
03-04 1154
文章介绍的是模型逆向攻击,模型逆向攻击(model inversion attack)可以利用黑盒模型输出中的 confidence 等信息将训练 集中的人脸恢复出来。他们针对常用的面部识别 模型,包括 softmax 回归、多层感知机和自编码器网络实施模型逆向攻击。他们认为模型输出的confidence 包含的输入数据信息,也可以作为 输入数据恢复攻击的衡量标准。他们将模型逆向攻击问题转变为一个优化问题,优化目标为使逆向数据的输出向量与目标数据的输出向量差异尽可能地小,即假如攻击者获得了属于某一类别的输出
Label 相关论文汇总
weixin_45807767的博客
11-23 1576
Label相关的论文汇总
论文阅读笔记】NeurIPS2020文章列表Part1
热门推荐
zincrain的博客
12-09 2万+
A graph similarity for deep learning An Unsupervised Information-Theoretic Perceptual Quality Metric Self-Supervised MultiModal Versatile Networks Benchmarking Deep Inverse Models over time, and the Neural-Adjoint method Off-Policy Evaluation and Learning.
CVPR 2022 论文列表(持续更新)
gbstack08的专栏
03-05 1万+
本文包括论文链接及代码 关注公众号:AI基地,及时获取最新资讯,学习资料 GitHub链接:GitHub - gbstack/cvpr-2022-papers: CVPR 2022 papers with code 因为CSDN的markdown编辑器限制,文本多了保存会卡死。大家尽量到上面的GitHub链接去看吧。 CVPR2022 Papers (Papers/Codes/Demos) 分类目录: 1. 检测 2. 分割(Segmentation) 3. 图像处理(Image Pro
【CVPR2022】论文列表与下载——PartFour
TomRen
06-12 3223
【CVPR2022】完整论文列表
(2023,正则化 & 模型增强)重新思考针对深度神经网络的模型反演攻击
qq_44681809的博客
06-15 993
本文的主要贡献有两点:SOTA 模型反演 (Model inversion,MI) 算法的优化目标是次优的,本文使用正则化改进了优化目标;2)“MI 过拟合”阻止重建图像学习训练数据的语义,本文提出基于知识蒸馏的“模型增强”来解决问题。
深度学习攻击方式汇总
05-22
本文介绍了几种深度学习的攻击方式,包括成员推理攻击,模型反演攻击,GAN攻击,降维攻击以及一些其他的攻击方式
MIBench:首个模型反演攻击与防御基准测试工具。不仅集成了16种最先进的攻击和防御方法,还提供了9种常用评估协议,为标准化和公平的评估分析提供了便利。
最新发布
u011559552的博客
10-10 1090
2024-10-08,由哈尔滨工业大学(深圳)和清华大学深圳国际研究生院的研究人员联合创建的MIBench,作为首个模型反演攻击和防御的实用基准测试,不仅集成了16种最先进的攻击和防御方法,还提供了9种常用评估协议,为标准化和公平的评估分析提供了便利。MIBench的建立,目的通过全面比较和分析不同场景下各种方法的性能,克服以往工作中的不一致问题,推动该领域的进一步发展。
Label-Only Model Inversion Attacks via Boundary Repulsion
weixin_49171105的博客
10-13 871
本文提出了一种边界排斥模型反转:BERP-MI,该模型只使用目标模型预测标签反转私有训练数据,算法的关键思想是评估模型在球体上的预测标签,然后估计到达目标类质心的方向。
《预训练周刊》第7期:傅立叶图像变换器解析、阿里达摩院发布最大中文预训练语言模型PLUG
BAAIBeijing的博客
04-29 808
No.07智源社区预训练组预训练研究观点资源活动关于周刊‍‍‍超大规模预训练模型是当前人工智能领域研究的热点,为了帮助研究与工程人员了解这一领域的进展和资讯,智源社区整理了第7期《预训练周...
李宏毅机器学习笔记(十九)——对ML模型的攻击和防御
Unique13的博客
09-01 1115
文章目录一.背景二.对模型进行攻击1.基本思想2.相似度限制3.训练参数   前言:老师课上举的例子都与图像相关,其实其他领域也是同理的。 一.背景   神经网络不仅是要用在研究上,最后更多的肯定要在各种有意义的应用中。那么安全性就显得尤为重要,要去对抗恶意攻击(注意,这里不是说仅仅是对抗杂讯,而是所谓的,不暴露出弱点)。即使是垃圾邮件识别,人脸识别这种最基础广泛的领域,也存在着大量的攻击对抗。因此,对这方面的研究是十分重要的。 二.对模型进行攻击 1.基本思想   既然是恶意攻击,首先我们还是要保证,我们
在bugku关于CBC翻转攻击思路
weixin_34186931的博客
08-19 263
今天在bugku遇到关于CBC翻转攻击的题目,总结了一下关于CBC翻转攻击的原理,以及关于这道题目的解题思路 CBC翻转攻击的主要目的:通过损坏密文字节来改变明文字节。(注:借助CBC内部的模式) 通过添加单引号等恶意字符来绕过过滤器,或通过将用户ID更改为admin来提升权限,或者更改应用程序所需的明文的任何其他后果。 加密过程: 上图CBC加...
联邦学习(FL)安全威胁
我的个人博客
08-11 5461
联邦学习(FL)安全威胁
近期学习论文总结 3(23.06.05-23.06.09)
qq_44681809的博客
06-10 941
计算机视觉相关论文学习总结
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值