Membership Inference Attacks Against Machine Learning Models论文笔记

最新推荐文章于 2024-01-28 23:21:31 发布
最新推荐文章于 2024-01-28 23:21:31 发布
阅读量697 收藏 3
点赞数 1
分类专栏: 隐私保护 文章标签: 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48757200/article/details/114682062
版权

Membership Inference Attacks Against Machine Learning Models

1. Abstract:

  • 在机器学习过程中存在着隐私泄露的问题,这篇论文着重于成员推理攻击:给定一个记录(record)和一个机器学习模型的黑盒API,成员推理攻击能够区别该记录是否属于模型的训练集;
  • 成员推理攻击的主要核心思想是:通过目标模型来训练攻击者自身的攻击模型,该攻击模型(分类器)的作用在于能够识别出目标模型对于给定的数据集(数据集一部分来源于训练集,一部分训练集)的不同的预测值,从而能够区分出该记录是否属于目标模型的训练集,从而造成训练集记录的隐私泄露;

2. Introduction:

  • 谷歌和亚马逊等公司现在已经可提供“machine learning as a service”服务(其提供黑盒API供客户使用来构建自己的模型);
  • 攻击者通过训练攻击模型来识别目标模型的行为(训练集内和训练集外的数据集,目标模型的行为是不一样的),即将成员推理问题转换成分类问题
  • 首要问题是构建攻击模型—采用shadow learning技术,shadow model是为了模仿目标模型的行为,这样就可以知道目标模型(即shadow model)的真实训练集的身份,然后通过标记过的输入(label标签标注该记录是否属于训练集)和shadow model的输出(预测函数)来构建攻击模型;
  • 目标模型虽然只能通过黑盒API来联通,但是通过运用shadow learning技术我们可以构建和目标模型相类似的伪目标模型,这样目标模型的问题就得到了解决;第二步需要解决的问题是—为shadow model构造数据集,因为大型服务器的数据集我们是不可知的,所以攻击者需要自行构造数据集,来训练自己的攻击模型;构建数据集有三种方法:1.通过黑色API来合成生成数据集(不具备目标模型的训练集分布的任何先验知识)2.提取和目标模型的数据集相同分布的数据3.攻击者知道目标模型数据集的潜在噪声版本;(2和3方法仅在成员推理之前访问一次目标模型,即不需要再合成数据集的过程中查询黑盒API);
  • 这种简单的成员推理攻击在更为复杂的机器学习模型中效果并不太好,具体的改进在2019年shokri的paper-Comprehensive Privacy Analysis of Deep Learning中,专门对神经网络的成员推理攻击进行了介绍;
  • 注意区分成员推理攻击和模型反转之间的区别,成员推理攻击—判断某一记录是否属于目标模型的数据集,模型反转—output推inoput,但是模型反转不能够构造出真实的目标模型的训练集或记录;

3.Statement

  • 首先需要明确一个基本的概念就是:对于任何一个输入的记录数据,模型的输出是一个可能性的预测向量(prediction vector of probabilities(可能性也称confidence values置信值)),预测向量对应的是每一个分类的类,然后模型会选择置信度最高的一个分类该记录的预测标签;

  • 攻击模型的攻击准确度的衡量标准是precision精确率和recall召回率;准确率(accuracy):所有预测正确的占比,精确率(precision):正确预测为正的占全部预测为正的比例,召回率(recall):正确预测为正的占全部实际为正的比例;

4.Methods

对于实验进行完整的介绍:

在这里插入图片描述

  • 该流程是攻击的流程图,已知的一个labeled record有标签的记录(x,y),通过target model可以得到一个预测向量y,然后将(yy)作为feature以及in或out作为label训练一个二分类模型,该模型就是攻击模型,攻击模型将计算((x,y),y)属于“in”或者“out”分类的概率,也就是x属于目标模型的训练集的概率;

在这里插入图片描述

  • 该攻击方法最关键的问题在于不知道目标模型的训练集,为了训练出攻击模型我们需要使用shadow model技术,shadow model可以模仿target model的behavior,从而达到训练出attack model的目的;

  • 在最后的情况下攻击者如果知道目标模型的训练算法和模型结构,shadow model是很容易训练的;但是机器学习服务器是不会提供任何模型的信息的,这样就需要攻击者通过访问服务器的黑盒API来训练shadow models(shadow models越多,攻击模型的准确度就会越高)

    训练attack model和shadow models的关键在于datasets的合成,文章给出了3种方法:

  1. model-based synthesis:用模型本身来合成数据,其原理是如果对于records模型的预测能够给出很高的置信度,那么该record与真实训练集中的数据应该是十分相似的;
  2. statistics-based synthesis:知道目标模型的数据的分布信息;
  3. noisy real data:噪声版本的数据和真实数据可能十分的相似,可以直接使用;

5.Evaluation

CIFAR,Purchases,Locations,Texas hospital stays,mnist,UCI Adult

小白菜董夏
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《RELAXLOSS: DEFENDING MEMBERSHIP INFERENCE ATTACKS ...》
03-08
20220304 / Under review as a conference paper at ICLR 2022 / Anonymous authors
机器学习中的成员推理攻击.zh-CN.docx
06-01
机器学习中的成员推理方法 membership inference attack against machine learning models shokri R.2017翻译
Computer vision models, learning and inference
12-10
Computer vision models, learning and inference, 重点讲述了贝叶斯理论在计算机视觉方面的应用,非常有价值
【12.23-12.24】Member Inference Attack
qq_45888932的博客
12-24 947
两篇关于Member Inference Attack 问题的论文并进行简单的整理。大致浏览了解描述的内容,没有深入研究实验过程。
论文阅读 + 代码复现】Monte Carlo and Reconstruction Membership Inference Attacks against Generative Models
weixin_46440934的博客
10-25 723
针对生成模型的蒙特卡罗和重构成员推理攻击 原文题目: Monte Carlo and Reconstruction Membership Inference Attacks against Generative Models原文链接: paper代码链接: github本文主要复现针对VAE的重构成员推理攻击。VAE相关基础知识:B站: 李宏毅机器学习 (2017) P27 - P29该重建攻击仅适用于VAE. 在训练阶段,重建的D(z)D(z)D(z)如果与当前的训练数据xxx相近, 则这种训练效果是被鼓
【全文翻译】Membership Inference Attacks Against Machine Learning Models
weixin_43682519的博客
12-03 5410
摘要—我们定量研究了机器学习模型如何泄漏有关对其进行训练的单个数据记录的信息。 我们专注于基本的成员推理攻击:给定数据记录和对模型的黑匣子访问,确定记录是否在模型的训练数据集中。 为了针对目标模型执行成员推理,我们在对抗中使用了机器学习,并训练了自己的推理模型,以识别目标模型在训练后的输入与未训练在输入上的预测之间的差异。 我们对由商业“机器学习即服务”提供商(例如Google和Amazon)训练的分类模型进行经验评估,以评估我们的推理技术。 使用现实的数据集和分类任务,包括其出入会受到隐私角度影响的医院
论文阅读】Membership Inference Attacks Against Machine Learning Models
最新发布
massive_jiang的博客
01-28 657
机器学习即服务(Machine Learning as a Service,MLaaS),即将机器学习算法部署到云平台上,用户可以上传自己的数据集,利用MLaaS上的算法等资源训练一个model,然后用这个模型预测。比如超市可以训练一个模型预测用户的购物喜好。这里需要注意的是,大多数MLaaS平台,学习算法、训练过程、超参数的设定以及最终训练好的模型都不会对用户暴露,即MLaaS对用户是黑盒的,用户最终只能使用平台训练好的模型的预测输出。
成员推断攻击Membership Inference Attacks Again Machine Learning Models
zyz20001028的博客
05-04 3472
成员推断攻击 Membership Inference Attacks Again Machine Learning Models 看了成员推断攻击笔记经典的论文,做一点记录 概念 成员推断攻击的定义: 判断某一个数据记录是否在模型的训练集中的 核心问题:给定数据记录,和黑盒模型查询的权限,判断数据是否在训练集中 指标的选择: Precision: 推断是训练数据的数据占实际的(what fraction of records inferred as members are indeed members
论文解析:Membership Inference Attacks Against Machine Learning Models(一看即懂)
ZXISABOY的博客
10-27 5799
论文解析:Membership Inference Attacks Against Machine Learning Models(一看即懂,超详细版本) Membership Inference Attacks Against Machine Learning Models 摘要:这篇文章致力于探索机器学习模型如何泄露训练集中的信息,专注于基本的成员推理攻击,即给出一个机器学习模型和一条记录,判断该样本是否被用作训练集中的一部分。 我们对“机器学习即服务(machine learning as a ser
记住的算法:模型反转攻击和数据保护法-研究论文
06-09
许多人关心机器学习系统的治理和算法危害的预防。 欧盟最近的通用数据保护条例 (GDPR) 被视为实现该领域更好治理的核心工具。 虽然 GDPR 确实适用于某些有限情况下的模型使用,但其大部分条款都与个人数据的治理有关,而模型传统上被视为知识产权。 我们展示了最近关于“模型反转”和“成员推断”攻击的信息安全文献的工作,这表明将训练数据转换为机器学习系统的过程不是单向的,并展示了这如何导致某些模型成为法律上归类为个人数据。 以此作为探索性实验,我们探索这将触发的不同权利和义务及其效用,并为算法治理和监管提出未来的方向。
Membership Inference Attacks Are Easier on Difficult.pdf
11-21
这篇论文《会员推理攻击在困难问题上更容易》探讨了针对深度神经网络模型的会员推理攻击Membership Inference Attacks,MIA)的问题。MIA试图检测数据样本是否被用于训练神经网络模型,例如防止版权侵犯。研究发现...
On the Difficulty of Membership Inference Attacks.pdf
11-19
总之,"On the Difficulty of Membership Inference Attacks"这篇论文揭示了会员推理攻击在实际应用中的局限性,尤其是高假阳性率问题,强调了在隐私保护领域需要更全面的评估标准和更深入的研究。
Computer Vision Models,Learning and Inference13章翻译
04-17
Computer Vision Models,Learning and Inference13章图像预 处理与特征提取翻译。逐像素变换(白化,直方图均衡化,滤波,二值),边缘、角点和兴趣点(canny,harris,SIFT)描述子(SIFT,方向梯度直方图,词袋,...
Membership Inference Attacks Against Machine Learning Models论文分析
qq_46007128的博客
12-22 459
1、第一个提出了针对机器学习模型的成员推理概念2、创造性的提出了影子模型的方法以及影子模型训练数据的生成方法3、探究了一些防御措施的效果。
模型反演攻击:Neural Network Inversion in Adversarial Setting via Background Knowledge Alignment
zyz20001028的博客
05-04 5050
模型反演攻击:Neural Network Inversion in Adversarial Setting via Background Knowledge Alignment 背景 定义: 旨在通过模型的预测输出获取关于模型的训练数据或者测试数据的信息 方法 此前的模型反演攻击的方法主要有以下两类: Optimization-based approach: 把反演问题变为一个优化问题,通过梯度构建出最佳的对应于目标类的数据x^\widehat{x}x,目标是使得Fw(x)F_{w}(x)Fw​(x)
论文笔记Membership Inference Attacks Against Machine Learning Models
热门推荐
xff1994的博客
05-08 1万+
Membership Inference Attacks Against Machine Learning Models 简介:这篇文章关注机器学习模型的隐私泄露问题,提出了一种成员推理攻击:给出一条样本,可以推断该样本是否在模型的训练数据集中——即便对模型的参数、结构知之甚少,该攻击仍然有效。其核心在于其提出的shadow learning技术。 问题设定 考虑多分类问题,模型的输出是一个预测向...
论文记录】Membership Inference Attacks Against Machine Learning Models
Liu, Q. B. 的博客
07-04 1915
Introduction 本文主要贡献 : quantify membership information leakage through the prediction outputs of machine learning models. 方法 : turn machine learning against itself and train an attack model
论文阅读】Reinforcement Learning-Based Black-Box Model Inversion Attacks
Yogurtboyyy的博客
06-16 391
强化学习
membership inference attacks
03-16
会员推断攻击是一种针对机器学习模型的隐私攻击攻击者试图通过观察模型的输出来推断出某个数据点是否被用于训练模型。这种攻击可能会导致用户的隐私泄露,因为攻击者可以通过推断出用户的数据是否被用于训练模型来获得用户的敏感信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值