【论文阅读 + 代码复现】Monte Carlo and Reconstruction Membership Inference Attacks against Generative Models

已于 2022-10-28 10:43:13 修改
阅读量924 收藏 3
点赞数 2
文章标签: 论文阅读 机器学习 人工智能
于 2022-10-25 11:56:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46440934/article/details/127510638
版权

针对生成模型的蒙特卡罗和重构成员推理攻击
原文题目: Monte Carlo and Reconstruction Membership Inference Attacks against Generative Models

原文链接: paper

代码链接: github

本文主要复现针对VAE的重构成员推理攻击。

1. 论文理解

VAE相关基础知识:B站: 李宏毅机器学习 (2017) P27 - P29

该重建攻击仅适用于VAE. 在训练阶段,重建的 D ( z ) D(z) D(z)如果与当前的训练数据 x x x相近, 则这种训练效果是被鼓励的. 这样, 我们就可以得到具有更高精度的VAE重建数据. 但是, 输出 D ( z ) D(z) D(z)是不确定的. D ( z ) D(z) D(z)依赖于从分布 N ( E μ ( x ) , E σ ( x ) ) N(E_\mu(x),E_\sigma(x)) N(Eμ(x),Eσ(x))(其中参数 x x x是编码器 E E E的输出)采样得到的隐变量 z z z. 于是我们重复这个过程 n n n

f ^ r e c ( x ) = − 1 n ∑ i = 1 n ∣ ∣ D ( z i ) − x ∣ ∣ \hat{f}_{rec}(x) = -\frac{1}{n}\sum_{i=1}^{n}||D(z_i)-x|| f^rec(x)=n1i=1n∣∣D(zi)x∣∣

其中 z i ( i = 1 , … , n ) z_i(i=1,\dots,n) zi(i=1,,n)采样自分布 N ( E μ ( x ) , E σ ( x ) ) N(E_\mu(x),E_\sigma(x)) N(Eμ(x),Eσ(x)). 上述公式被用作VAE的损失函数. 本工作的一个贡献是将这个函数用于成员推理攻击. f ^ r e c ( x ) \hat{f}_rec(x) f^rec(x)被用来作为成员推理攻击的判别函数 f ^ ( x ) \hat{f}(x) f^(x).

注意: 这个攻击的威胁模型是: 一个可以访问VAE模型的强敌手 A A A.

2. 攻击原理

在这里插入图片描述

从训练集和测试集中分别取出100张图片, 输入训练好的网络, 得到对应的重建图片 x ′ x' x. 对重建的图片和原始图片做MSE, 得到200个MSE结果. 对这200个MSE结果从小到大排序(可以预知, 训练集图片对应的MSE较小, 应该排在前面; 测试集图片对应的MSE较大, 排在后面). 之后, 在排好顺序的200张图片中, 对后100张图片统计分别有多少张训练集图片和测试集图片. 这即为该成员推理攻击的准确率.

3. 代码理解

keras实现, VAE已训练好, 数据集: cifar10.

加载训练集trX和验证集vaX.
训练集:6000, 验证集:60000+10000-6000=74000

trX, vaX = load_cifar10_with_validation(0.1, True)
teX = vaX[44000:]   # 30000
vaX = vaX[:44000]   # 44000

随机取100个训练样本和验证样本.

trX_inds = np.arange(len(trX))  # 6000
np.random.shuffle(trX_inds)
trX_inds = trX_inds[0:100]  

vaX_inds = np.arange(len(trX))
np.random.shuffle(vaX_inds)
vaX_inds = vaX_inds[0:100]

对验证集和训练集图片计算MSE, 并记录.

results_sample = np.zeros((len(vaX_inds),2))
for i in range(len(vaX_inds)):
    # indicate that dataset is a sample
    results_sample[i][0] = 0
    # 取出验证集图片, 计算MSE
    results_sample[i][1] = compute_avg_rec_error(vaX[vaX_inds][i], repeats) 

results_train = np.zeros((len(trX_inds),2))
for i in range(len(trX_inds)):
    # indicate that dataset is a training data set
    results_train[i][0] = 1
    # 取出训练集图片, 计算MSE
    results_train[i][1] = compute_avg_rec_error(trX[trX_inds][i], repeats)

最后得出准确率.

# 将results_sample, results_train归总在一起
results = np.concatenate((results_sample, results_train))
# 排序后得到准确率
accuracy = 1 - results[results[:,1].argsort()][:,0][-len(results_train):].mean()

4. 注意事项

在代码实现里有repeat操作. 即对于同一张图片, 重复进行多次validation. 每次validation后都计算一个MSE, 最后对所有MSE取平均. 这样有利于减少噪声对准确率的影响.

def compute_avg_rec_error(x_sample, repeats, n=3):
    x_repeated = np.repeat([x_sample],repeats,axis=0)   # (30000, 32, 32, 3)
    avg_dist = 0.0
    for i in range(n):
        avg_dist = avg_dist + vae.evaluate(x_repeated)
    return avg_dist/n
_Seesth_
关注
强化学习模型易受成员推理攻击的研究及编程实现
LogicGuruX的博客
09-30 247
成员推理攻击是指恶意用户通过观察模型的输出和环境反馈来推断模型的内部信息,从而构造针对模型的攻击策略。然而,当恶意用户能够观察到模型的输出和环境反馈时,他们可以通过分析这些信息来推断模型的内部状态,从而构造特定的攻击策略。需要注意的是,成员推理攻击是一种针对模型的攻击方式,可以采取多种形式,具体取决于攻击者的能力和目标。在设计强化学习模型时,需要考虑到潜在的成员推理攻击,并采取相应的防御措施,如模型输出的差分隐私保护、限制对模型内部状态的可观察性等。是攻击者使用的推理攻击函数和实施攻击的函数。
IntromlProject:针对机器学习模型的成员资格推断攻击
05-18
简介项目 针对机器学习模型的成员资格推理攻击试图重现和研究以下论文中发布的结果,这是机器学习入门课程的一个班级项目的一部分: : CIFAR10_all_stages.ipynb包含在CIFAR 10数据集上作为该项目一部分进行的实验的A到Z代码。 - - - - - - - - - - - - - - - - - - - 阶段I - - - - - ------------------------------- 主要目标:这部分代码基本上为我们的攻击模型生成训练和测试数据 细节:对于[2500,5000,10000,15000]中的每个data_size,我们生成一个目标模型,并相应地生成10个阴影模型。 目标模型提供攻击模型的测试数据,影子模型提供攻击模型的训练数据。 目标模型中使用的数据与阴影模型中使用的数据完全脱节。 存储来自这
成员推理攻击
m0_67105022的博客
02-19 2820
神经网络不会直接处理原始图像、文本等。训练语料库中的样本通过数学转换成多维数组,如矩阵。尽管存在这些转换,但通常可以从神经网络中的输出中识别出敏感信息。最常见的机器学习逆向工程为成员推理攻击,攻击者使用单个数据点或多个数据点来确定它是否属于训练目标模型的语料库。事实证明,从数据集中删除敏感信息并不意味着无法重新推断。 ...
成员推断攻击:Membership Inference Attacks Again Machine Learning Models
zyz20001028的博客
05-04 4163
成员推断攻击 Membership Inference Attacks Again Machine Learning Models 看了成员推断攻击笔记经典的论文,做一点记录 概念 成员推断攻击的定义: 判断某一个数据记录是否在模型的训练集中的 核心问题:给定数据记录,和黑盒模型查询的权限,判断数据是否在训练集中 指标的选择: Precision: 推断是训练数据的数据占实际的(what fraction of records inferred as members are indeed members
成员推断攻击的代码实现(至少支持3种数据)
最新发布
hepucuncao的博客
12-10 1281
关于成员推理攻击的目的,或者是说他的定义,就是为了分辨出某些数据样本是否被用于某一机器学习模型的训练过程。换句话来讲,对于攻击者来说这就是一个二分类任务,对于这一方向的研究就是使用不同的tricks来解决这个二分类问题。成员推理攻击利用了这样一种观察,即机器学习模型在它们所训练的数据上的行为常常与它们第一次“看到”的数据不同。过拟合是一个常见的原因,但不是唯一的原因。攻击者的目的是构建一个攻击模型,该模型可以识别目标模型行为中的这些差异,并利用它们来区分目标模型的成员和非成员
CVPR 2021最全论文开放下载!附pdf下载链接!
中科院AI算法工程师的博客
06-18 1万+
CVPR 2021最全论文开放,附所有pdf下载链接!
论文阅读笔记】NeurIPS2020文章列表Part1
热门推荐
zincrain的博客
12-09 2万+
A graph similarity for deep learning An Unsupervised Information-Theoretic Perceptual Quality Metric Self-Supervised MultiModal Versatile Networks Benchmarking Deep Inverse Models over time, and the Neural-Adjoint method Off-Policy Evaluation and Learning.
基于视觉的机器人抓取: 论文及代码(Vision-based Robotic Grasping: Papers and Codes)
dsoftware的博客
10-22 2万+
最近总结了基于视觉的机器人抓取的相关论文及代码,同步于github。根据抓取的类别,基于视觉的机器人抓取可以分为两类:2D平面抓取以及6D空间抓取。这个页面总结了近年来涉及到的各种各样的方法,其中大部分都使用了深度学习。总结的中文框架结构如下: 0.综述论文 1. 2D平面抓取 这类方法将抓取,用平面内旋转的矩形框表示; 1.1基于RGB或者RGB-D的方法 采用基于目标检测类的方法,直接得到2D...
论文阅读笔记】NeurIPS2020文章列表Part2
zincrain的博客
12-09 6223
Online Multitask Learning with Long-Term Memory Fewer is More: A Deep Graph Metric Learning Perspective Using Fewer Proxies Adaptive Graph Convolutional Recurrent Network for Traffic Forecasting On Reward-Free Reinforcement Learning with Linear Function A.
ICRA2020论文整理(SLAM + Deep Learning)
Spacegene的博客
07-20 1万+
参考:https://github.com/PaoPaoRobot/ICRA2020-paper-list Table of Contents: 1. SLAM 2. Deep Learning in Robotics and Automation 3.Localization 4. Sensor Fusion 5. Calibration and Identification 6. Semantic Scene Understanding 7. Reinforcement Learn...
mia:一个针对ML模型运行成员资格推断攻击的库
05-02
米亚 一个针对机器学习模型运行成员资格推断攻击(MIA)的库。 查看。 这些是针对培训数据隐私的攻击。 在MIA中,攻击者仅通过查询模型来尝试猜测在训练目标模型期间是否使用了给定的示例。 参见在论文中的更多内容。 当前,您可以使用该库来评估Keras或PyTorch模型对MIA的鲁棒性。 特征: 实现原始的阴影模型 可自定义,可以使用任何scikit学习的Estimator类对象作为阴影或攻击模型 经过Keras和PyTorch的测试 入门 您可以从PyPI安装mia: pip install mia 用法 Shokri等。 攻击 请参见。 阅读在攻击的细节文件。 让target_model_fn()返回目标模型体系结构作为类似于scikit的分类器。 攻击是白盒攻击,这意味着假定攻击者知道体系结构。 令NUM_CLASSES为分类问题的类数。 首先,攻击者需要在从原始数据分
ebmia:高效的盲成员推理攻击
03-29
一种应用盲成员推理攻击的有效方法 // TODOS 培训目标模型 --dataset --model --batch (optional, default 64) --config python train_target_model.py --dataset DD --model GCN --config config/graph_classification.json 问题 1. tensorflow.python.framework.errors_impl.InternalError: cudaGetDevice() failed. Status: cudaGetErrorString symbol not found Solved: https://developer.nvidia.com/cuda-10.1-download-archive-base to install cuda
LOGAN:Membership Inference Attacks Against Generative Models
WuwuwuH_的博客
07-18 654
LOGAN:Membership Inference Attacks Against Generative Models
成员推理攻击(Membership Inference Attacks Against Machine Learning Models)通俗易懂
啥都不会的菜鸟
06-05 3810
核心的推理依据是机器学习模型在**处理训练集中的数据时通常会展现出更高的置信度和准确性**,因为模型是直接在这些数据上学习到的**规律和特征**。影子训练技术背后的主要思想是:**相似的数据记录在相同服务上训练的模型会表现出相似的行为**。模型的查询仅限于给出**input**,返回模型的**output**(黑盒子问题),在训练集和模型结构位置的情况下,我们面临的最大问题就是**如何训练attacker模型**,因此本论文提出了**影子模型**,通过影子模型对attacker进行训练。
ECCV2020 语义分割任务的成员推理攻击和防御
xunbaobao123的博客
03-20 1577
ECCV2020 语义分割任务的成员推理攻击和防御 论文地址:论文链接 代码地址:github链接 一.概要 大型数据集推动了当今用于语义分割的最先进方法的成功。数据被认为是需要保护的重要资产,因为此类数据集的收集和注释需要大量的工作和相关的成本。此外,视觉数据可能包含私人或敏感信息,这使其不适合公开发布。不幸的是,最近在更广泛的对抗性机器学习领域中的成员推理和对机器学习模型的推理攻击方面的研究表明,即使是黑匣子分类器,也会在经过训练的数据集上泄漏信息。我们证明了这种隶属推理攻击可以在复杂,最新的语义分割模
推理攻击-Python案例
Python领域优质萌新学习笔记
10-06 1076
通过这种方法,攻击者能够对训练数据集中的类别分布进行合理推测,尽管这一过程并不保证百分之百准确,但足以展示模型在某些方面可能泄漏的信息。这种类型的攻击强调了在设计和部署机器学习模型时,保护训练数据隐私的重要性。
联邦学习-推理攻击
qq_54855933的博客
11-25 806
在联邦学习中,推理攻击的具体表现可以进一步分为针对聚合梯度的攻击和针对全局模型的攻击。例如,在纵向联邦学习中,攻击者可能通过一定的方法获取目标方的目标值,即被动方的隐私数据。此外,还有研究提出了针对纵向联邦学习的标签推理攻击,包括被动标签推理攻击、主动标签推理攻击和直接标签推理攻击。这些防御手段旨在提升联邦学习系统的鲁棒性,保护系统不受对抗性攻击的影响,同时也保护用户的隐私不被非对抗性攻击所侵犯。在联邦学习中,推理攻击是指攻击者试图从模型参数、梯度信息等间接推断出敏感信息的攻击行为。
Quantifying Privacy Leakage in Graph Embedding
qq_40577814的博客
03-10 492
本文贡献 本文研究了三种攻击方式:(从黑盒和白盒角度进行分析) 成员推理攻击(深度学习) 图重建攻击(深度学习) 属性推理攻击(随机游走) 成员推理攻击 黑盒设置中有两种 影子模型攻击:利用数据分布的辅助知识 置信度攻击:不使用数据分布的辅助知识 作者通过在cora、citeseer、pubmed上进行实验验证了置信度攻击方法比影子模型方法的准确度高 在白盒设置下,通过图嵌入来区分一个给定节点是否是训练图的一部分 图重建攻击: 给敌手一个子图的图嵌入,训练一个编码器-解码器来从图嵌入中得到整个图 属
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值