【论文阅读】Model Inversion Attacks that Exploit Confidence Information and Basic Countermeasures 利用模型逆向攻击

已于 2024-06-15 17:43:10 修改
阅读量761 收藏 30
点赞数 18
分类专栏: 推理攻击 文章标签: 信息与通信 网络安全 网络攻击模型 安全威胁分析 神经网络 人工智能 计算机视觉
于 2024-05-26 01:35:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49946504/article/details/139206520
版权

最近要看一些推理攻击的内容,把看过的都放过来吧
Model Inversion Attacks that Exploit Confidence Information and Basic Countermeasures
利用置信信息的模型反演攻击及其基本对策
ACM SIGSAC 2015

文章目录

一、论文信息

1. 题目

Model Inversion Attacks that Exploit Confidence Information and Basic Countermeasures
利用置信信息的模型反演攻击及其基本对策
在这里插入图片描述

2. 作者

Matt Fredrikson、Somesh Jha、Thomas Ristenpart
卡内基梅隆大学、威斯康星大学麦迪逊分校、康奈尔科技

3. 期刊年限

  • ACM SIGSAC
  • 计算机安全TOP
  • 2015年

4. 关键词

model-inversion, GAN

二、背景

  1. 威胁是提供商可能对敏感数据管理不善,允许训练数据或查询日志成为内部攻击的牺牲品或通过系统妥协暴露
  2. 一种模型反转攻击,该攻击能够使用黑盒访问预测模型以估计某人的基因型,适用于任何设置,其中被推断的敏感特征是从一个小集合中提取的
  3. 文章引入 :新的攻击,可以推断用作决策树模型输入的敏感特征,从 API 访问恢复图像到面部识别服务攻击,构建利用 API 公开的置信值的攻击算法
  4. ML APIs and model inversion:将客户端访问分为黑盒或白盒。 黑盒中,对抗性客户端可针对模型预测查询,不会下载模型描述。 白盒中,客户可下载模型的描述 - 输入[x1,x2,…,xn],输出 Y = F(x1,x2,…xn) - 黑客使用黑盒访问 F 来推断一个敏感特征,比如x1,是一个敏感特征,通过一些其他相关特征和输出值y,模型的损失值,以及单个变量的边际先验。算法是一个最大后验(MAP)估计器,它选取的是的值,使观察到已知值的概率最大化。然而,这需要计算f(x1, …, xd)的每一个可能的x1值
  5. White-box decision tree attacks:模型描述所包含的信息比黑盒攻击所利用的在黑盒攻击中利用的更多信息。提供了训练集中符合决策树中每个决策树中的每个路径的实例数。除以实例总数实例的总数给出了分类的confidence。先验地看这个额外的信息似乎是无害的,但它实际上是可以被利用的

三、创新

  • 提供新的模型反演算法,可用于从 ML 服务上的决策树推断敏感特征,从面部识别模型中提取训练对象的图像:
  1. 在决策树模型(BigML)和人脸识别的神经网络模型上实现了基于置信度信息的MI Attack
  2. 采用Amazon’s Mechanical-Turk对攻击效果进行量化评估
  3. 对提出的攻击,提出了对策

四、方法

4.1 威胁模型

  • 重点关注敌对客户端试图滥用对 ML 模型 API 的访问的设置, 假设对手拥有 API 公开的任何信息。
  • 白盒:可下载模型 , 黑盒:攻击者只能对对手选择的特征进行预测
  • 敌手通过训练获得辅助信息aux的输出,敌手无法获得训练数据和联合先验的样本,只能通过ML API间接获得对数据的标识。
  • 文章关注对手无法访问训练数据,也无法从联合先验中采样的能力的情况。 重点考虑具有保密风险的设置。
  • 不考虑恶意服务提供商,也不考虑可能损害服务的敌对客户端,是一种尚未引起关注、潜在的风险攻击
    在这里插入图片描述

4.2 Fredrikson的攻击

  • 考虑了一个线性回归模型 f,通过特征向量预测药物的实际值建议的初始剂量,其中基因标记表示隐私属性,也是MI Attack的逆向目标,攻击者取得f的白盒权限+除了基因隐私的属性和预测结果{x1,…,xt,y} 逆向推理隐私属性x1 的数据
  • Figure 2:err 高斯误差模型,通过处罚使得预测值不准的 xi 使得预测值逼近实际值,最后得到的最接近的隐私属性当作x1的数据;p为边缘先验概率。
  • 该算法简单地用x1的每个可能值完成目标特征向量,然后计算这是正确值的加权概率估计,是白盒,不符合黑盒,同时无法对高维特征进行还原

4.3 决策树的反演攻击

  • 对于黑盒条件,用了Fredrikson的MI Attack算法,针对决策树做出了微调,
  • 不同体现在:目标模型只能产生离散输出;误差模型信息不同,采用混淆矩阵C表示,而非高斯分布的方差
    在这里插入图片描述

4.4 人脸识别

  • 主要实现了两类模型逆向攻击:

4.1 重构攻击

  • 假设敌手知道模型标签,利用标签重构图片,
  • 攻击者若能够从一系列图片中识别出受害者图片,认为成功实现了攻击

4.2 去模糊攻击

  • 假设敌手可获取不包含隐私的用户的模糊无法辨认的图像
  • 对其进行去模糊操作,若恢复的图像在训练集中,认为成功实现了攻击

五、实验部分

5.1 数据集

FiveThirtyEight’s “How Americans Like Their Steak、a subset of the General Social Survey (GSS) focusing on responses re-lated to marital happiness、Cambridge

5.2 和MI有关的实验

  • 3种预测策略:
    • 随机敌手:对模型一无所知=掷硬币的随机猜测
    • baseline敌手:只知道敏感属性的边缘概率分布,无法访问树/有关数据集的任何信息,根据边缘分布猜测最可能的值
    • 理想敌手:可访问从原始数据集训练的决策树来预测敏感属性,给定已知特征的情况,使用树来进行预测
努力努力不秃头!
关注
  • 18
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
论文笔记08】Model inversion attacks that exploit confidence information and basic countermeasures 模型反转攻击
weixin_45632492的博客
04-02 4879
目录导引系列传送Model inversion attacks that exploit confidence information and basic countermeasures1 Abstract2 Background2.1 ML basis2.2 ML APIs2.3 Threat models3 The Fredrikson et al. attack4 Map inverters for trees4.1 Decision Tree4.2 DT APIs5 Facial recogniti
从安全视角对机器学习的部分思考
SIGAI_CSDN的博客
01-11 2614
其它机器学习、深度学习算法的全面系统讲解可以阅读《机器学习-原理、算法与应用》,清华大学出版社,雷明著,由SIGAI公众号作者倾力打造。 书的购买链接 书的勘误,优化,源代码资源 摘要 近几年,机器学习的大规模应用,以及算法的大幅度提升,吸引了学术界、工业界以及国防部门的大量关注。然而,对于机器学习算法本身的局限性,由于其快速的发展也不断的暴露了出来。因此,不论是人工智能领域的学者,还...
论文阅读Model Inversion Attacks that Exploit Confifidence Informationand Basic Countermeasures
qq_45822394的博客
03-04 675
文章介绍的是模型逆向攻击模型逆向攻击model inversion attack)可以利用黑盒模型输出中的 confidence 等信息将训练 集中的人脸恢复出来。他们针对常用的面部识别 模型,包括 softmax 回归、多层感知机和自编码器网络实施模型逆向攻击。他们认为模型输出的confidence 包含的输入数据信息,也可以作为 输入数据恢复攻击的衡量标准。他们将模型逆向攻击问题转变为一个优化问题,优化目标为使逆向数据的输出向量与目标数据的输出向量差异尽可能地小,即假如攻击者获得了属于某一类别的输出
Model Inversion Attacks that Exploit Confidence Informati on and Basic Countermeasures 阅读心得
zzdxls的博客
07-27 2818
Model Inversion Attacks that Exploit Confidence Informati on and Basic Countermeasures 阅读心得
模型逆向攻击实战
蚁景网安学院
08-05 1730
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
机器学习论文阅读笔记摘录,主动学习Active Learning,迁移学习Transfer Learning,差分隐私Differential Privacy,模型攻击Model Attack
weixin_45632492的博客
04-23 1707
笔记导引【Active Learning】【Transfer Learning】【Differential Privacy】【Model inversion attack】 【Active Learning】 【论文笔记01】Learning Loss for Active Learning, CVPR 2019 让网络自己学会预测这个数据的训练损失,从而在无标记Pool中找到valuable instances 【论文笔记02】Active Learning For Convolutional Neura
RegressionModelFitting under+Differential Privacy and Model Inversion Attack.pdf
02-22
回归模型拟合隐私与模型反转攻击的修改,可能翻译不准确,轻喷谢谢 。。啧啧啧啧啧啧啧啧啧啧啧啧啧啧啧啧啧啧啧啧啧啧啧啧啧
记住的算法:模型反转攻击和数据保护法-研究论文
06-09
我们展示了最近关于“模型反转”和“成员推断”攻击的信息安全文献的工作,这表明将训练数据转换为机器学习系统的过程不是单向的,并展示了这如何导致某些模型成为法律上归类为个人数据。 以此作为探索性实验,我们...
49636969PROSPECT5_Matlab_inversion_inversion_光谱反演模型_matlab_yet2s
10-01
物理光学辐射传输模型来反演叶片光谱反射率
Periodic inversion and phase transition of finite energy Airy beams in a medium with parabolic potential
02-11
Periodic inversion and phase transition of finite energy Airy beams in a medium with parabolic potential
Core-genome scaffold comparison reveals the prevalence that inversion events are associated with pairs of inverted repeats
02-22
Core-genome scaffold comparison reveals the prevalence that inversion events are associated with pairs of inverted repeats
联邦学习的隐忧:来自梯度的深度泄露
AI科技大本营
04-12 4240
作者|LigengZhu and Song Han编译 | 对外经济贸易大学金融科技实验室头图 | 下载于视觉中国【编者按】数据交易流通是数据要素市场建立的关键环节。为了在推动数据...
机器学习攻击综述总结
Billy1900的博客
07-01 2881
Attacks on Machine Learning 文章目录Attacks on Machine Learning1. The first one of attacks categories1.1 Espionage1.2 Sabotage1.3 Fraud2.The second one of attacks categories2.1 Evasion (Adversarial Examples)Research Work2.2 Poisoning:Widespread.2.3 TrojianingR
论文笔记07】A Survey on Differentially Private Machine Learning 差分隐私机器学习综述, IEEE CIM 2020
weixin_45632492的博客
03-31 1354
目录导引系列传送A Survey on Differentially Private Machine LearningReference 系列传送 【Active Learning】 【论文笔记01】Learning Loss for Active Learning, CVPR 2019 【论文笔记02】Active Learning For Convolutional Neural Networks: A Core-Set Approch, ICLR 2018 【论文笔记03】Variational Ad
差分隐私 深度学习_深度学习中的差异隐私
weixin_26722031的博客
08-01 5115
差分隐私 深度学习I would like to thank Mr. Akshay Kulkarni for guiding me on my journey in publishing my first-ever article. 我要感谢Akshay Kulkarni先生在我发表我的第一篇文章的过程中为我提供了指导。 介绍 (INTRODUCTION) As a large number ...
24级中国科学技术大学843信号与系统考研分数线,中科大843初复试科目,参考书,大纲,真题,苏医工生医电子信息与通信工程。
最新发布
seuroad的博客
06-21 118
24级中国科学技术大学843信号与系统考研分数线,中科大843初复试科目,参考书,大纲,真题,苏医工生医电子信息与通信工程。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8295
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
2023护网蓝初面试题汇总
m0_74131821的博客
05-18 1774
日薪1000+的护网行动开始招人了,有想法的速看!
强敌环伺:金融业信息安全威胁分析——整体态势
AKAMAI_CHINA的博客
01-29 1053
在Web应用程序和API攻击、零日漏洞以及DDoS攻击等方面,金融服务业一直是最主要的三大被攻击目标垂直行业之一。金融服务业的Web应用程序和API攻击数量同比激增3.5倍,在所有主要行业中增速最快。如何阻止Web应用程序和API攻击利用新发现的零日漏洞针对金融服务业发起的攻击,在24小时内就可以轻松达到每小时数千次的规模,并且会快速达到峰值,这使得防御者几乎没时间打补丁或做出反应。
modem egbert inversion
10-26
Modem Egbert Inversion是一个虚构的名字,可能没有具体的定义或含义。 "Modem"一词通常用于描述一种用来连接电脑与互联网的设备。而"Egbert Inversion"在我们常见的语言中没有特定的概念或指代。基于这两个单词的定义,可以推测"Modem Egbert Inversion"可能指的是一种与调制解调器(modem)或互联网连接有关的概念或技术,但具体意思无法确定。 总之,根据提供的信息,"Modem Egbert Inversion"很可能是一个虚构的名字,没有特定的含义或解释,如果有其他更具体的背景或信息,可以提供给我,以便我能够给出更准确的回答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值