Defending Against Model Stealing Attacks with Adaptive Misinformation

于 2022-11-28 10:43:47 发布
阅读量319 收藏
点赞数 1
文章标签: 人工智能 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ren2966717445/article/details/125123932
版权

Defending Against Model Stealing Attacks with Adaptive Misinformation阅读

核心:

本文提出了一种适应性错误信息的方式来防御模型窃取的攻击。核心思想是对良好用户(模型的训练数据)返回正常模型预测,对恶意用户(输入是OOD,训练数据分布外的数据)时返回错误预测,以此来保障目标模型可用性即准确率和安全之间的平衡。
①适应性的错误输出保障了模型的准确率和安全性之间的平衡
②错误函数的错误输出完全破话了真缺预测和错误预测之间隐藏的相关性(即top1不变的扰动还是会泄露掉真确和错误之间的相关性,隐私泄露)
③降低的产生错误预测的计算开销

1、直觉观察现象:

ID的 Maximum Softmax Probability (MSP)值高,而OOD(Out-Of-Distribution)的MSP值低,以此来检测是正常用户的查询还是敌手查询。

常规的模型窃取流程:
在这里插入图片描述

2、主流的模型窃取方法:

①合成数据的窃取(Synthetic Data),即在样本量少时,利用如雅可比矩阵的方式来合成数据去查询目标模型。
②代理数据集的窃取(Surrogate Data),利用影子数据集查询目标模型

3、主流的模型窃取防御方法:

① Stateful Detection Defenses:检测是否正常用户
② Perturbation-Based Defenses:与预测结果进行扰动,按防御者的需求有分为两种方法:
1,Accuracy Preserving Defenses,即只对top1的预测不变,对其余部分扰动。保障目标模型的精度
2,Accuracy-Constrained Defenses,对预测的整体扰动,比如 Prediction Poisoning (PP),在目标模型限定准确率的基础上保障模型的安全性。

本文属于Accuracy-Constrained Defenses一类

本文的防御流程:

在这里插入图片描述
由三个模块组成: (1) An OOD detector (2) A misinformation function (f0) (3) A mechanism to gradually switch between the predictions of f and f0 depending on the input.

(1)An OOD detector:最大类的盖度概率大于阈值者为良好用户,否者为敌手在这里插入图片描述
(2)A misinformation function (f0):训练最小化正确分类的概率。与目标模型的训练目标相反在这里插入图片描述
(3)A mechanism to gradually switch between the predictions of f and f0 depending on the input.:输出交替转换机制,若ymax大于阈值即阿尔法接近0,则输出正常模型预测;若小于阈值,即阿尔法接近1,则输出错误的预测结果。
在这里插入图片描述

问题:

1,这种方式虽保障了模型的安全,按常理来说部署模型后公开付费API给用户,这些用户应该更多的是OOD的数据,这样用户只会收到错误的结果。
2,在OOD detector阈值检测器中,大于阈值的为正常用户否则为恶意。这不是与成员推理类似。难道非成员就是恶意用户的数据,太过绝对。

ren2966717445
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全顶刊——TIFS 2023 论文清单与摘要(1)
漏洞战争
05-04 88
1、2PCLA: Provable Secure and Privacy Preserving Enhanced Certificateless Authentication Scheme for Distributed Learning随着机器学习和物联网的快速发展,分布式学习(DL)应运而生。随着边缘服务器预处理和预学习统计数据,全球服务器可以降低成本,提高效率,并输出更精确的结果。然而,为了...
Protecting Against DNN Model Stealing Attacks 论文阅读心得
zzdxls的博客
07-23 1276
Protecting Against DNN Model Stealing Attacks 论文阅读心得
AAAI 2022:通过验证嵌入的外源特征防止模型窃取丨AI Drive
shujushizhanpai的博客
03-29 2633
模型偷盗攻击可以逆向出一个和被部署的受害者模型具有相似功能的替代模型。训练一个具有良好表现的模型费时费力,因此模型偷盗会对模型所有者带来巨额损失,造成巨大威胁。 针对这种现象,本期 AI Drive,清华大学李一鸣分享其团队发布在 AAAI 2022 的成果:通过验证嵌入的外源特征防止模型窃取。 「AI Drive」是由 biendata 和 PaperWeekly 共同发起的学术直播间,旨在帮助更多的青年学者宣传其最新科研成果。我们一直认为,单向地输出知识并不是一个最好的方式,而有效地反馈和交流可能会.
使用物理不可压缩(Physical Unclonable Function)功能的V2G轻量级相互认证协议
lyon____的博客
08-05 631
引自:Bansal G , Chamola V , Kumar N , et al. Lightweight Mutual Authentication Protocol for V2G Using Physical Unclonable Function[J]. IEEE Transactions on Vehicular Technology, 2020, PP(99). 所面临的物理问题: 1.(人为恶意攻击)电动汽车通常停放在易于接近的位置。这意味着对手可以轻松捕获这些车辆上的V2G设备。因..
深度学习数据窃取攻击在数据沙箱模式下的威胁分析与防御方法研究阅读心得
zzdxls的博客
07-20 2388
工智能时代,数据开放共享已然成为趋势,但是数据安全问题严重 制约了大数据价值的发挥。数据沙箱模式,或称数据信托,是解决隐私保护和数据挖掘之间矛盾的有效方案。数据沙箱分为调试环境和运行环境,数据拥有者将原始数据托管到运行环境中,并自动生成不包含隐私信息的样例数据..................
Theoretical and Experimental Methods for Defending Against DDoS Attacks 无水印pdf
10-11
Theoretical and Experimental Methods for Defending Against DDoS Attacks 英文无水印pdf pdf所有页面使用FoxitReader和PDF-XChangeViewer测试都可以打开 本资源转载自网络,如有侵权,请联系上传者或csdn删除...
SybilGuard defending against sybil attacks via social networks
01-22
Using social networks to counter sybil attack, published in IEEE TRANSACTIONS
Defending Against SYN Flood Attack under Asymmetric Routing Environment
02-11
Defending Against SYN Flood Attack under Asymmetric Routing Environment
Defending_Machine_Learning_against_Adversarial_Attacks.pdf
08-08
Deep Learning and Applications A Brief Overview of Deep Learning Adversarial and Fooling Samples Adversarial Noise Fooling Samples Training Robust Neural Networks(ICPR'16) The Random Projection ...
Azure云服务中的DDoS防御策略Defending_Against_DDoS_Attacks_in_Cloud_Comput
08-03
1. 吸收 2. 检测 3. 缓解 1. 增加容量,提高最大容量的上限(提供了更多的时间来检测攻击) 2. 减少检测时间 1. 网络层高容量攻击 2. 应用程序
AI深度学习模型被“骗”,研究者如何对抗攻击?
limingmin2020的博客
05-07 1006
现有深度学习算法存在着严重的安全隐患:攻击者可以通过给良性样本添加特定噪声,轻易地欺骗深度学习模型,并且通常不会被人发现。攻击者利用人的视觉/听觉无法感知的扰动,足以使正常训练的模型输出置信度很高的错误预测。这种现象,被研究者称为“对抗攻击”,也可以形象地说,**我们的模型被”骗“了!!对抗攻击被认为是在部署深度学习模型之前的巨大障碍,这也激发了人们对于对抗技术的广泛兴趣。
人工智能模型数据泄露的攻击与防御研究综述论文阅读总结
zzdxls的博客
07-19 1863
人工智能模型数据泄露的攻击与防御研究综述论文阅读总结
联邦学习安全与隐私保护
我的个人博客
09-07 2469
联邦学习安全与隐私保护
Anomaly/Out-Of-Distribution(OOD) Detection 的常见方法
Xuefeng_BUPT的博客
06-05 1152
定期学习积累
(八:2020.08.27)CVPR 2020 追踪之论文纲要(译)
热门推荐
Jojo论文基地
08-27 1万+
CVPR 2019 追踪之论文纲要(修正于2020.08.27)讲在前面论文目录 讲在前面 论坛很多博客都对论文做了总结和分类,但就医学领域而言,对这些论文的筛选信息显然需要更加精细的把控,所以自己对这1400篇的论文做一个大致从名称上的筛选,希望能找到些能解决当前问题的答案。 论文链接建议直接Google论文名,比去各种论文或顶会网站找不知道快捷多少。 Respect! 论文目录 论文 概要 12-in-1 - Multi-Task Vision and Language Repre
【CVPR2020】计算机视觉与模式识别会议论文完全清单_Part1
TomRen
06-11 4383
CVPR2020的文章收录清单
直播预告|AAAI 2022:通过验证嵌入的外源特征防止模型窃取
AI_Drive的博客
03-15 159
「AI Drive」是由 biendata 和 PaperWeekly 共同发起的学术直播间,旨在帮助更多的青年学者宣传其最新科研成果。我们一直认为,单向地输出知识并不是一个最好的方式,而有效地反馈和交流可能会让知识的传播更加有意义,从而产生更大的价值。 本期 AI Drive,我们邀请到清华大学四年级在读博士生-李一鸣,为大家在线解读其发表在 AAAI 2022的最新研究成果:通过验证嵌入的外源特征防止模型窃取。对本期主题感兴趣的小伙伴,3 月 17 日(周四)晚 7 点,我们准时相约 AI_Dri..
人工智能模型数据泄露的攻击与防御研究综述
weixin_70923796的博客
09-07 545
人工智能和深度学习算法正在高速发展,这些新兴技术在音视频识别、自然语言处理等领域已经得到了广泛应用。然而,近年来研究者发现,当前主流的人工智能模型中存在着诸多安全隐患,并且这些隐患会限制人工智能技术的进一步发展。因此,研究了人工智能模型中的数据安全与隐私保护问题。对于数据与隐私泄露问题,主要研究了基于模型输出的数据泄露问题和基于模型更新的数据泄露问题。在基于模型输出的数据泄露问题中,主要探讨了模型窃取攻击、模型逆向攻击、成员推断攻击的原理和研究现状;
如果我想写一篇关于AI算法安全的技术调研,你推荐我使用那些文献
最新发布
03-20
3. "Defending Against Adversarial Attacks by Leveraging an Entire GAN" by Chaowei Xiao, Bo Li, Jun-Yan Zhu, Warren He, Mingyan Liu, and Dawn Song 4. "A Survey of Deep Learning Security Threats and ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值