Attacks Against Machine Learning Models

最新推荐文章于 2025-04-30 09:36:22 发布
最新推荐文章于 2025-04-30 09:36:22 发布
阅读量549 收藏 19
点赞数 10
文章标签: 机器学习 人工智能 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Naomi521/article/details/146892732
版权

1. 机器学习攻击的主要类型

1.1 训练阶段攻击(Training-Time Attacks)

这些攻击发生在模型训练阶段,通常影响数据完整性、模型学习过程,或直接引入后门(Backdoor)。

(1) 数据投毒攻击(Data Poisoning Attacks)

  • 目标: 通过篡改训练数据,使模型学到错误的模式。

  • 方法:

    • 标签投毒(Label Flipping): 修改训练数据标签(如把合法交易标为欺诈交易)。

    • 特征投毒(Feature Poisoning): 改变特征值,使模型产生偏差(如操纵信用评分模型)。

    • 后门攻击(Backdoor Attack): 在训练数据中嵌入隐蔽模式,使模型在特定触发器(Trigger)出现时输出攻击者期望的结果(如仅对某个用户或某个输入有效)。

(2) 模型投毒攻击(Model Poisoning Attacks)

  • 目标: 通过修改模型参数,使其对某些输入产生错误预测。

  • 应用案例:

    • 联邦学习(Federated Learning) 中,攻击者上传篡改的局部模型,影响全局模型的性能。

    • 金融欺诈检测系统 中,攻击者可能投毒模型,使其忽略特定模式的欺诈交易。

1.2 推理阶段攻击(Inference-Time Attacks)

这些攻击发生在模型部署和推理阶段,通常用于欺骗或操控 ML 模型。

(1) 对抗性攻击(Adversarial Attacks)

  • 目标: 通过人为构造微小但精确的输入扰动,使模型做出错误决策。

  • 方法:

    • FGSM(Fast Gradient Sign Method): 使用梯度方向找到最小扰动,使模型误分类。

    • PGD(Projected Gradient Descent): 迭代优化对抗样本,使攻击更有效。

    • C&W 攻击(Carlini & Wagner Attack): 通过优化攻击目标,生成更隐蔽的对抗样本。

  • 现实应用:

    • 人脸识别系统 中,攻击者可以通过对抗样本绕过身份验证。

    • 自动交易系统 中,攻击者可以操控市场信号,误导模型的交易决策。

(2) 模型偷窃攻击(Model Extraction Attacks)

  • 目标: 通过查询黑盒模型,重建其结构或参数。

  • 方法:

    • 黑盒查询(Black-box Querying): 通过 API 获取输出数据,推测模型决策边界。

    • 梯度估计(Gradient Estimation): 通过输入变化分析模型参数。

  • 影响:

    • 竞争对手可以复制付费 AI 模型,绕过知识产权保护。

    • 金融 AI 交易模型可能被黑客窃取并用于操控市场

(3) 逆向工程攻击(Model Inversion Attacks)

  • 目标: 通过观察模型的输出,重建输入数据,泄露用户隐私。

  • 方法:

    • 通过梯度信息输出分布重建训练样本。

    • 例如在人脸识别系统中,攻击者可以通过 API 反推出某个用户的面部图像。

  • 风险:

    • 金融 AI 可能会泄露客户敏感信息(如账户余额、交易模式)。

2. 主要攻击手段及其详细解析

2.1 目标导向攻击(Targeted Attacks) vs. 非目标攻击(Non-Targeted Attacks)

  • 目标导向攻击: 攻击者希望模型输出特定结果(如让欺诈交易被分类为正常交易)。

  • 非目标攻击: 只要能误导模型,输出任何错误结果都可以。

2.2 白盒 vs. 黑盒攻击

  • 白盒攻击(White-box Attack): 攻击者知道模型架构、参数和梯度信息(如 FGSM、PGD)。

  • 黑盒攻击(Black-box Attack): 仅通过输入输出查询攻击模型(如 API 查询攻击、模型提取)。

2.3 Evasion vs. Poisoning 攻击

  • Evasion(逃避攻击): 针对推理阶段(如对抗样本、模型窃取)。

  • Poisoning(投毒攻击): 针对训练阶段(如数据投毒、后门攻击)。

3. 机器学习的防御机制

由于攻击对金融系统、自动驾驶、医疗诊断等领域的 AI 造成严重威胁,因此防御方法至关重要。

3.1 对抗性训练(Adversarial Training)

  • 通过在训练集中加入对抗样本,提高模型的鲁棒性。

  • 主要方法:

    • 基于 FGSM/PGD 生成对抗样本,并在训练中使用。

    • 采用正则化技术,使模型对小扰动不敏感。

3.2 模型不可知性(Obfuscation Techniques)

  • 梯度掩蔽(Gradient Masking): 使攻击者无法轻易计算梯度。

  • 随机平滑(Randomized Smoothing): 在输入上添加随机噪声,提高对抗性鲁棒性。

3.3 隐私保护技术

  • 差分隐私(Differential Privacy): 限制模型泄露个体信息,提高隐私安全性。

  • 联邦学习(Federated Learning): 避免数据集中存储,减少数据投毒风险。

3.4 模型监测与检测

  • 对抗样本检测器(Adversarial Example Detection): 监测输入是否含有对抗扰动。

  • 反向工程检测(Reverse Engineering Detection): 识别恶意查询行为,防止模型窃取。

[论文精读]Membership Inference Attacks Against Machine Learning Models
m0_52911108的博客
09-27 1171
中文译名:针对机器学习模型的成员推理攻击会议名称:2017 IEEE Symposium on Security and Privacy (SP)我认为有必要看看人家的代码怎么写的。阅读原因:要做一个成员推理攻击的任务,需要了解什么是成员推理攻击探讨的核心内容:给定一个数据集和一个黑盒模型,决策是否这个数据集是模型的训练集。
【论文记录】Membership Inference Attacks Against Machine Learning Models
Leo
07-04 2156
Introduction 本文主要贡献 : quantify membership information leakage through the prediction outputs of machine learning models. 方法 : turn machine learning against itself and train an attack model
为什么poisoning attack(投毒攻击)可能导致用户隐私泄露
wzx_442011334的博客
10-05 375
例如,如果攻击者知道某些特定的输入(他们控制的恶意数据)会导致特定的预测结果,那么当看到类似的预测结果时,他们可能能够推断出相关的输入数据,从而导致数据泄露。如果这些数据包含敏感信息(如个人健康信息、地理位置数据等),且攻击者能够通过某种方式访问到这些已修改的数据或其衍生物,就可能直接导致用户隐私被泄露。为了防止投毒攻击导致的用户隐私泄露,联邦学习系统需要设计实施严格的数据保护措施、鲁棒的模型更新检验机制以及有效的异常检测和响应策略,确保即使在攻击发生时也能最大限度地保护用户数据不被泄露。
人工智能安全——联邦学习的安全攻击与防护
jazzbin的博客
01-03 966
将多目标优化与联邦学习结合,是一种非常实用的方法。它不但能够具有理论保障地改善联邦学习的公平性,使得联邦学习在non-IID的场景下表现更佳,同时还能很好地抵御联邦学习的安全攻击。本文分享了一篇AAAI-2023的论文,它通过计算公平的模型更新方向,在一定程度上能够很好地抵御联邦学习的安全攻击,具有较高的鲁棒性和实用性。
[论文阅读]Enhanced Membership Inference Attacks against Machine Learning Models
m0_52911108的博客
11-08 1244
在本文中,我们提出了一个全面的假设检验框架,该框架不仅使我们能够以一致的方式正式表达之前的工作,而且还设计了新的成员推理攻击,该攻击使用参考模型来实现任何(假阳性率)误差的显着更高的功效(真阳性率)。更重要的是,我们解释了为什么不同的攻击执行方式不同。我们提供了一个不可区分游戏的模板,并提供了游戏不同实例的攻击成功率的解释。我们讨论了问题制定过程中出现的攻击者的各种不确定性,并展示了我们的方法如何尝试将攻击不确定性降至最低,直到训练集中是否存在数据点的一点秘密。
【论文阅读】Membership Inference Attacks Against Machine Learning Models
massive_jiang的博客
01-28 1269
机器学习即服务(Machine Learning as a Service,MLaaS),即将机器学习算法部署到云平台上,用户可以上传自己的数据集,利用MLaaS上的算法等资源训练一个model,然后用这个模型预测。比如超市可以训练一个模型预测用户的购物喜好。这里需要注意的是,大多数MLaaS平台,学习算法、训练过程、超参数的设定以及最终训练好的模型都不会对用户暴露,即MLaaS对用户是黑盒的,用户最终只能使用平台训练好的模型的预测输出。
【全文翻译】Membership Inference Attacks Against Machine Learning Models
weixin_43682519的博客
12-03 5858
摘要—我们定量研究了机器学习模型如何泄漏有关对其进行训练的单个数据记录的信息。 我们专注于基本的成员推理攻击:给定数据记录和对模型的黑匣子访问,确定记录是否在模型的训练数据集中。 为了针对目标模型执行成员推理,我们在对抗中使用了机器学习,并训练了自己的推理模型,以识别目标模型在训练后的输入与未训练在输入上的预测之间的差异。 我们对由商业“机器学习即服务”提供商(例如Google和Amazon)训练的分类模型进行经验评估,以评估我们的推理技术。 使用现实的数据集和分类任务,包括其出入会受到隐私角度影响的医院
成员推理攻击(Membership Inference Attacks Against Machine Learning Models)通俗易懂
啥都不会的菜鸟
06-05 3812
核心的推理依据是机器学习模型在**处理训练集中的数据时通常会展现出更高的置信度和准确性**,因为模型是直接在这些数据上学习到的**规律和特征**。影子训练技术背后的主要思想是:**相似的数据记录在相同服务上训练的模型会表现出相似的行为**。模型的查询仅限于给出**input**,返回模型的**output**(黑盒子问题),在训练集和模型结构位置的情况下,我们面临的最大问题就是**如何训练attacker模型**,因此本论文提出了**影子模型**,通过影子模型对attacker进行训练。
论文笔记:Membership Inference Attacks Against Machine Learning Models
热门推荐
xff1994的博客
05-08 1万+
Membership Inference Attacks Against Machine Learning Models 简介:这篇文章关注机器学习模型的隐私泄露问题,提出了一种成员推理攻击:给出一条样本,可以推断该样本是否在模型的训练数据集中——即便对模型的参数、结构知之甚少,该攻击仍然有效。其核心在于其提出的shadow learning技术。 问题设定 考虑多分类问题,模型的输出是一个预测向...
【文章思路、算法分析】Membership Inference Attacks Against Machine Learning Models
weixin_43682519的博客
12-05 3497
第三方第三方
自编码器和GAN的后门攻击——BAAAN: Backdoor Attacks Against Autoencoder and GAN-Based Machine Learning Models
weixin_48654804的博客
10-06 1318
BAAAN: Backdoor Attacks Against Autoencoder and GAN-Based Machine Learning Models 论文链接 这是一篇arxiv上的论文。之所以看这篇论文,是因为对GAN和AutoEncoder的后门攻击产生兴趣。 论文动机 后门攻击往往应用于传统的图像分类任务上。在GAN,autoencoder这类生成任务上面临的则往往是成员推理攻击,也就是从模型中获取训练集内的个体信息。 而本文将后门攻击扩展到生成任务上,使得GAN、AutoEncoder
对抗样本之黑箱对抗:Practical Black-Box Attacks Against Machine Learning
yujianmin1990的专栏
04-15 5708
前言   看到篇paper,提供了一个极其厉害的生成对抗样本的黑箱攻击方式,之前的对抗攻击必须要知道受攻击模型的详细信息(包括模型结构参数,训练样本集等),但是本文所要分享的方法,是完全不需要知道这些信息的,只需要可以接触到受攻击模型的判别label即可完成对抗攻击。多么神奇而牛气哄哄的方法,让我们一块膜拜下这篇文章,看看为什么会有效。 攻击的限制 面对的问题:   在不知道受攻击模...
Get a Model! Model Hijacking Attack Against Machine Learning Models
soulmate9939的博客
04-16 692
机器学习(ML)已经成为各种关键应用的基石,例如自动驾驶、金融/银行应用和身份验证系统。随着机器学习采用率的不断提高,两个最重要的需求是需要高计算能力来训练更复杂的机器学习模型,以及需要高质量的训练数据集。对数据和计算能力的如此高的要求阻碍了个人自己训练ML模型。相反,已经提出了涉及多方联合构建机器学习模型的新训练范例。一个这样的训练范例是联邦学习[3]。然而,将新的参与方纳入机器学习模型的训练过程中会带来新的安全和隐私风险。换句话说,它创建了一个攻击面,在这个攻击面上,对手可以操纵机器学习模型的训练。
论文那些事—DECISION-BASED ADVERSARIAL ATTACKS:RELIABLE ATTACKS AGAINST BLACK-BOX MACHINE LEARNING MODELS
shuweishuwei的博客
11-11 3115
DECISION-BASED ADVERSARIAL ATTACKS:RELIABLE ATTACKS AGAINST BLACK-BOX MACHINE LEARNING MODELS(ICLR2018) 1、摘要/背景 目前用于生成对抗扰动的大多数方法要么依赖于详细的模型信息(基于梯度的攻击),要么依赖于置信度分数,例如类概率(基于分数的攻击),这两种能力在大多数现实世界场景中都不可用。在许多此类情况下,人们目前需要退回到基于迁移的攻击,这些攻击依赖于繁琐的替代模型,而且需要访问训练数据并且可以防.
JCRQ1河马算法+消融实验!HO-CNN-LSTM-Attention系列四模型多变量时序预测,作者:机器学习之心
CSDN博主《机器学习之心》(IP:广东)小助手的博客
04-30 161
JCRQ1河马算法+消融实验!HO-CNN-LSTM-Attention系列四模型多变量时序预测,作者:机器学习之心
AI编程案例拆解|基于机器学习XX评分系统-后端篇
qq_42320804的博客
04-26 786
AI编程案例拆解|基于机器学习XX评分系统-后端篇
机器学习中的过拟合与模型复杂性:理解与应对策略》
最新发布
青蛙博客
04-30 409
机器学习中,过拟合是模型在训练数据上表现良好但在新数据上泛化能力差的现象。本文深入探讨了过拟合与模型复杂性之间的关系,分析了复杂模型导致过拟合的原因,并介绍了正则化技术(如 L1 和 L2 正则化)如何通过惩罚复杂模型来改善模型的泛化能力。通过具体实例,本文展示了如何在实际机器学习项目中平衡模型的复杂性和泛化能力,为机器学习实践者提供了实用的指导。
机器学习中的标签策略:直接标签、代理标签与人工数据生成
青蛙博客
04-28 952
本文深入探讨了机器学习领域中标签的关键概念,包括直接标签与代理标签的定义、优缺点比较,以及人工生成数据的相关内容。通过详细实例和练习,帮助读者理解如何选择合适的标签类型和数据生成方式,从而优化机器学习模型的性能和准确性。文章强调了标签质量对模型训练的重要性,并提供了实践建议以确保数据质量和模型有效性。
机器学习之二:指导式学习
搏博的专栏
04-27 986
这种学习方式如同学生在教师的明确指导下学习,训练数据中的标签(如分类类别、回归目标值)相当于教师提供的“标准答案”,模型通过分析这些“例题”与“答案”的对应关系,掌握解决问题的能力。指导式学习作为机器学习的基石,其理论和方法将持续演进,与无监督学习、强化学习深度融合,推动人工智能从“有监督的专项智能”向“自主学习的通用智能”迈进。4)数据集划分:将数据分为训练集(80%)、验证集(10%)、测试集(10%),用于模型选择和泛化能力评估。正如人们有各种各样的学习方法一样,机器学习也有多种学习方法。
Towards Deep Learning Models Resistant to Adversarial Attacks
04-03
In recent years, researchers have proposed several techniques to improve the robustness of deep learning models against adversarial attacks. Here are some of the approaches: 1. Adversarial training:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Naomi521

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值