【论文笔记】ML-Leaks: Model and Data Independent Membership Inference Attacks and Defenses on Machine ...

于 2024-07-26 22:22:42 发布
阅读量417 收藏 6
点赞数 23
分类专栏: 论文笔记 文章标签: 论文阅读
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48911755/article/details/140724394
版权

原文链接icon-default.png?t=N7T8https://arxiv.org/pdf/1806.01246      

摘要

        本文研究了机器学习模型中的成员推理攻击,即攻击者试图确定数据点是否属于模型的训练数据。文章放宽了先前研究中的假设,展示了更广泛的应用场景和更低的攻击成本。通过使用单一影子模型、数据无关攻击和无需训练的攻击方法,文章证明了成员推理攻击的严重性。此外,文章提出了两种防御机制,即 dropout 和模型堆叠,以减轻成员推理攻击的风险。

工作内容

        针对模型无关的成员推理攻击 (攻击者 1):第一个攻击者,使用单个影子模型和攻击模型进行成员推理攻击。

        针对数据无关的成员推理攻击 (攻击者 2):第二个攻击者,使用来自不同分布的数据集训练影子模型,并提出了数据转移攻击方法,该方法比 Shokri 等人 [38] 的合成数据生成方法更有效。

         无需训练的模型和数据无关的成员推理攻击 (攻击者 3):第三个攻击者,她使用目标模型的后验概率进行成员推理攻击,无需构建影子模型。

        防御: 提出了两种防御机制,即 dropout 和模型堆叠,以减轻成员推理攻击的风险。

实验细节

攻击

        三种攻击者逐步放宽了成员推理攻击的假设,展示了其广泛的应用场景和严重性。攻击者 1 放松了影子模型结构的假设,攻击者 2 放松了数据分布的假设,攻击者 3 则进一步放松了攻击复杂度的假设。这些结果表明,即使攻击者没有大量数据和模型知识,仍然可以对机器学习模型进行有效的成员推理攻击。

攻击者1:模型无关攻击

  • 目标: 确定数据点是否属于模型的训练数据。
  • 假设: 攻击者拥有来自与目标模型训练数据相同分布的数据集
  • 方法: 使用单个影子模型和攻击模型进行成员推理攻击。
  • 特点
    • 使用单个影子模型,降低了攻击成本。
    • 放松了影子模型结构必须与目标模型相同的假设。
    • 提出了“结合攻击”,无需知道目标模型使用的分类器类型。
    • 在多个数据集上取得了与使用多个影子模型相似的攻击性能。

攻击者2:数据无关攻击

  • 目标: 确定数据点是否属于模型的训练数据。
  • 假设: 攻击者没有来自与目标模型训练数据相同分布的数据集
  • 方法: 使用来自不同分布的数据集训练影子模型,并进行数据转移攻击。
  • 特点
    • 无需查询目标模型生成合成数据,降低了攻击成本和被检测的风险。
    • 数据转移攻击在不同领域的数据集之间也有效。
    • 攻击性能在某些情况下甚至优于攻击者 1。

攻击者3:无需训练的模型和数据无关攻击

  • 目标: 确定数据点是否属于模型的训练数据。
  • 假设: 攻击者无需构建影子模型,且攻击无需训练过程
  • 方法: 使用目标模型后验概率的统计指标(如最大值和熵)进行成员推理。
  • 特点
    • 攻击者只需使用目标模型进行查询,无需训练任何模型。
    • 攻击性能虽然略低于前两种攻击者,但仍然有效。
    • 进一步证明了成员推理攻击的严重性。

防御

dropout

  • 目标: 降低机器学习模型的过拟合程度,从而提高其对成员推理攻击的鲁棒性。
  • 方法: 在每个训练迭代中,随机删除全连接神经网络模型中一定比例的边。
  • 实现
    • 选择合适的 dropout 比率: 通常选择 0.5 作为默认值,但可以根据具体情况进行调整。
    • 应用于输入层和隐藏层: 在模型的每个层都应用 dropout,以更有效地防止过拟合。
    • 评估效果: 通过比较应用 dropout 之前和之后的攻击性能,评估其有效性。结果显示,dropout 可以显著降低攻击性能,同时保持目标模型的预测精度。

正则化技术

  • 目标: 提高机器学习模型的泛化能力,从而降低其对成员推理攻击的敏感性。
  • 方法: 将多个机器学习模型组织成层次结构,每个模型训练在不同的数据子集上。
  • 实现
    • 选择不同的机器学习模型: 通常选择多层感知器、随机森林和逻辑回归作为模型堆叠的组成部分。
    • 数据分割: 将数据集分割成多个互斥的子集,每个子集用于训练一个模型。
    • 模型组合: 使用第一个模型的输出作为第二个模型的输入,第二个模型的输出作为第三个模型的输入,最终得到模型的预测结果。
    • 评估效果: 通过比较应用模型堆叠之前和之后的攻击性能,评估其有效性。结果显示,模型堆叠可以显著降低攻击性能,但可能会对目标模型的预测精度产生负面影响。

001_temp
关注
  • 23
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ML-Leaks-master.zip
04-30
"ML-Leaks-master.zip"这个压缩包包含的代码详细展示了如何进行这种攻击,对于理解和防范此类安全问题具有重要意义。 成员推断攻击是一种针对深度学习模型的隐私侵犯手段。攻击者尝试通过模型的输出来判断某个特定...
ember-memory-leaks-codemod:用于修复Ember应用程序中的内存泄漏的codemod的集合
02-05
用法要从该项目运行特定的codemod,您将运行以下命令: npx ember-memory-leaks-codemod <TRANSFORM> path/of/files/ or/some**/*glob.js# oryarn global add ember-memory-leaks-codemodember-memory-leaks-codemod...
android-subscription-leaks:小样本应用程序展示了使用RxJava时的内存泄漏解决方案
04-24
本项目"android-subscription-leaks"专注于演示如何在使用RxJava时避免内存泄漏,这是Java开发者在Android环境中常见的挑战。 RxJava是一个流行的用于处理异步数据流和事件的库。然而,如果不正确地管理其订阅...
Siim-Leaks-Wordpress-theme:我的第一个WordPress主题
04-05
【标题】"Siim-Leaks-WordPress-theme"是一款由个人开发者创建的第一个WordPress主题,它代表了初学者在网站设计和开发中的初次尝试。这个主题可能是为了展示基础的WordPress主题构建技术,同时也为其他初学者提供了...
deepseek-vl 论文阅读笔记
samoyan的博客,记录技术成长~
07-22 1132
我们的语言模型基于DeepSeek LLM(DeepSeek-AI,2024),其微设计大体遵循LLaMA(Touvron等,2023a,b)的设计,采用带有RMSNorm(Zhang和Sennrich,2019)函数的Pre-Norm结构,并使用SwiGLU(Shazeer,2020)作为前馈网络(FFN)的激活函数,中间层维度为8/3模型维度。此外,我们引入了一种新的“模态预热”策略。为了促进创新并支持广泛的应用需求,我们公开了两个版本的模型,分别为1.3B和7B,以满足不同计算能力的需求。
《Dynamic Statistical Learning in Massive Datastreams》论文阅读笔记
Keep_Calm_的博客
07-24 620
动态跟踪和筛选框架(DTS):论文提出了一个在线学习和模型更新的新框架,称为动态跟踪和筛选(DTS)。这个框架能够处理数据流中的动态变化,实时更新统计模型和推断结果。线性变化系数模型:在数据流的分析中,论文采用了一种特殊的统计模型,称为线性变化系数模型。这个模型允许研究者
Weakly Supervised Contrastive Learning 论文阅读
weixin_44609958的博客
07-25 831
无监督视觉表示学习因对比学习的最新成就而受到计算机视觉领域的广泛关注。现有的大多数对比学习框架采用实例区分作为预设任务,将每个实例视为一个不同的类。然而,这种方法不可避免地会导致类别冲突问题,从而损害所学习表示的质量。
[论文笔记] DCA(Dual Chunk Attention)
心宝的博客
07-23 147
DCA 通过分块处理和分步注意力计算,巧妙地解决了长文本处理中的计算和内存瓶颈问题,使得模型在处理长文本时既高效又有效。
论文阅读:Deep_Generic_Dynamic_Object_Detection_Based_on_Dynamic_Grid_Maps
qq_53589322的博客
07-25 512
相机参考图像显示在顶部,基于深度学习的旋转边界框目标检测结果覆盖在中间的动态网格上,经典的DBSCAN目标检测在最后一行。该文章提出了一种基于动态网格图(Dynamic Grid Maps)的深度通用动态物体检测方法,旨在提高复杂环境中动态物体检测的准确性和效率。本文提出的方法旨在解决这些挑战,提供一种更鲁棒和高效的动态物体检测技术,适用于自动驾驶、机器人导航等领域。本文提出的基于动态网格图的深度学习动态物体检测方法,在多种复杂环境下均表现出色,有效提高了动态物体检测的准确性和鲁棒性。
LLaVA论文阅读+Colab部署
Czi.的博客
07-22 886
将大型语言模型(LLMs)通过机器生成的指令跟随数据进行指令调优已被证明可以提高其在新任务上的零样本能力,但这一理念在多模态领域探索较少。我们首次尝试使用仅语言的GPT-4生成多模态语言-图像指令跟随数据。通过对这种生成的数据进行指令调优,我们引入了LLaVA:大语言与视觉助手,一个端到端训练的大型多模态模型,它连接了视觉编码器和LLM,用于通用的视觉和语言理解。为了促进未来关于视觉指令跟随的研究,我们构建了两个包含多样且具有挑战性的应用导向任务的评估基准。我们的实验表明,
论文阅读:面向自动驾驶场景的多目标点云检测算法
qq_53589322的博客
07-25 623
论文地址:面向自动驾驶场景的多目标点云检测算法点云在自动驾驶系统中的三维目标检测是关键技术之一。目前主流的基于体素的无锚框检测算法通常采用复杂的二阶段修正模块,虽然在算法性能上有所提升,但往往伴随着较大的延迟。单阶段无锚框点云检测算法简化了检测流程,但其性能难以满足自动驾驶场景的高要求。本文基于无锚框检测算法CenterPoint,提出了一种适用于自动驾驶场景的单阶段无锚框点云目标检测算法。技术创新自动驾驶系统中,基于点云的三维目标检测是至关重要的技术之一。组成部分:优化和改进:扩展功能:这些优化和改进措施
开题报告达达宠物认领信息网站的设计与实现 已通过开题答辩的.docx
07-25
宠物认领信息网站的主要目的是为寻找宠物的失主和寻找新家的宠物提供一个在线的信息交流平台。通过这个平台,失主可以发布失宠信息,寻找走失或遗弃的宠物;而救助人或组织则可以发布待领养的宠物信息,为那些无家可归的宠物寻找一个永久的归宿。 这样的网站通常会提供一个详细的宠物数据库,包括照片、品种、年龄、健康状况等信息,以便让失主能够方便地找到自己的宠物。同时,网站还会提供一些相关的服务,如失主与救助人之间的在线交流、宠物匹配推荐、领养手续办理等,以帮助双方顺利完成宠物的认领和领养过程。 宠物认领信息网站的目的在于提高失宠找到宠物的几率,减少流浪宠物的数量,并为那些无家可归的宠物提供一个温馨的新家。同时,网站还能促进社会对流浪宠物的关注和保护,提高人们的动物保护意识。
开题报告创权法律服务系统 已通过开题答辩的.doc
07-25
进入20世纪80年代,我国加快了改革开放的步伐,市场经济体制已逐步形成,我国的经济发展受世人所瞩目,但法律法规的置后,使经济发展不规范问题暴露的相当严重,特别是社会整体信用的缺失,使消费环境不断恶化。而如今随着城镇化的高速推进,精神追求远不及物质发展迅速,维权问题也越来越成为人们十分关注的社会话题。 维权是指维护个人或群体的合法权益,范围包括人身损害、土地纠纷、 医疗事故、婚姻、家庭、继承等民事纠纷所进行的行政及司法诉讼。维护消费者合法权益关系着全社会每个人的利益,群众利益无小事。维护消费者合法权益正体现着“权为民所用,利为民所谋”。而现如今由于法律规则的不完善加上自身对法律知识的不了解,导致很多公民的权益问题在复杂的社会情况下无法得到妥善的解决,使得公民的财产和心理受到难以弥补的损失,严重威胁到社会的安全与稳定,公民之间的诚信与统一。因此更便捷、迅速地维护公民的合法权益,已经成为了一个刻不容缓去解决的社会问题。
Matlab实现豪猪优化算法CPO-TCN-Multihead-Attention多输入单输出回归预测算法研究.rar
07-25
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
人力资源-6 团结一致共创未来新员工座谈会.pptx
07-25
人力资源-6 团结一致共创未来新员工座谈会.pptx
《AI大模型应用》--基于PepperBot,可以保留上下文的LLM群聊机器人实现.zip
07-25
上接OpenAI、文心一言,下接QQ、微信、Telegram 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸!
开题报告传统糕点 已通过开题答辩的.docx
07-25
理论意义: 1、网页设计是信息传播的重要手段,通过合理的布局、图文搭配等设计元素,可以更好地传递传统糕点的信息。理论上,这涉及到传播学、信息传递模型等方面的理论研究,确保信息能够被受众准确、清晰地接收。 2、用户体验理论强调用户与网页之间的交互和感知。在传统糕点推广网页设计中,理论上的考虑应该包括用户友好的界面、易于导航的网站结构,以及引导用户深入了解传统糕点的设计元素。
GBT 2423.1-2008-试验A-低温
最新发布
07-25
GBT 2423.1-2008-试验A-低温
ml-leaks: 机器学习中独立于模型与数据的成员推理攻击和防御
09-24
机器学习中的成员推理攻击指的是攻击者可以通过观察机器学习模型的输出,来推断训练数据中是否包含了特定的样本。这种攻击技术可以通过观察模型的输出统计信息,如分类概率或回归值,来判断模型对于某个特定样本的预测结果。成员推理攻击可能会对数据隐私造成威胁,尤其是当模型训练在敏感数据集上时。 针对成员推理攻击,也有一些防御方法可以采取。首先,可以对模型输出进行扰动处理,使得攻击者无法准确地推断出是否包含某个样本。这可以通过在模型输出中添加随机噪声或限制预测结果的精确度来实现。 其次,可以采用集成学习的方法,即使用多个模型进行预测,并对不同模型的输出进行统计,以减少攻击者的推断能力。通过使用不同的模型和数据划分,可以降低攻击者通过模型输出的统计信息来推测训练数据的可能性。 另外,数据隐私保护方法也可以用于防御成员推理攻击。例如,可以使用差分隐私技术,在训练数据中引入一定的随机噪声,以保护个体数据的隐私。这样可以防止攻击者通过观察模型的输出来进行有效的成员推理。 综上所述,成员推理攻击是机器学习中的一种隐私威胁,但通过添加扰动、集成学习和数据隐私保护等方法,我们可以减轻这种攻击带来的风险。然而,防御成员推理攻击仍然是一个开放的研究领域,需要进一步的研究和改进。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值