【论文阅读】Unstoppable Attack: Label-Only Model Inversion无条件攻击:基于条件扩散模型的只有标签模型反演

已于 2024-06-15 17:42:52 修改
阅读量738 收藏 9
点赞数 20
分类专栏: 推理攻击 文章标签: 人工智能 深度学习 神经网络 机器学习 网络安全 网络攻击模型 安全威胁分析
于 2024-05-26 18:19:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49946504/article/details/139218308
版权

最近要看一些推理攻击的内容,把看过的都放过来吧
Unstoppable Attack: Label-Only Model Inversion
无条件攻击:基于条件扩散模型的只有标签模型反演
TIFS 2024

文章目录

一、论文信息

1. 题目

Unstoppable Attack: Label-Only Model Inversion
无条件攻击:基于条件扩散模型的只有标签模型反演
在这里插入图片描述

2. 作者

Rongke Liu , Dong Wang , Yizhi Ren , Zhen Wang , Kaitian Guo, Qianqian Qin, and Xiaolei Liu
杭电

3. 期刊年限

  • TIFS
  • 6.8
  • 2024

4. 关键词

Model inversion attacks, diffusion model, deep learning security and privacy, generative model-based attack model.

二、背景

  1. MIA专注于恢复与私有数据本身非常相似的数据
  2. 白盒:为了在CNN上获得更多语义和有意义的图像,最先进的方法通过将噪声向量馈送到用辅助数据集训练的GAN网中的生成器来生成图像,优化转向噪声向量和生成器
  3. 现有的黑盒攻击是通过SGD来优化生成器,以最小化生成图像和辅助图像之间的像素损失。所生成的图像由上述生成器基于目标模型对辅助数据的预测来产生。基于黑盒模型输出的置信度或标签,攻击可以分为:
    • 数据重构:基于目标模型预测置信度向量来恢复输入样本
    • 训练类推理:基于独热向量或标签来恢复目标代表性样本
  4. 文章研究的是纯标签场景,属于训练类推理。目前研究产生理想的生成结果主要集中在白盒场景。实际中,模型通常作为黑盒访问,仅输出预测的标签,可以防止白盒攻击中的生成器在梯度的帮助下进行优化
  5. 指出了一些现有黑盒攻击的缺陷:
    • 生成的图像多为灰度,无法准确判断目标的肤色或瞳孔颜色等颜色特征
    • 目前没有可以在仅标签场景中进行最佳训练的攻击模型,现有方法必须通过基于GAN的生成器设计额外的优化策略来达到攻击目标
    • 只能为目标标签生成单个样本
    • 基于生成器的目标标签的生成结果是次优的,并且评估指标缺乏全面性

三、创新

  • 开发了一种新的标签模型反转攻击方法来解决上述限制。核心是训练一个由目标模型预测标签引导的条件扩散模型(CDM),在恢复阶段,可以根据目标标签引导恢复各种样本进行选择:
  1. 利用伽马校正来解决同一目标下辅助数据的差异而导致的生成质量下降
  2. 使用目标模型来过滤掉同一目标下的多个生成样本,具有更好的容错性和更大的优化空间
  3. 进行定性和定量评估,效果很好

四、方法

4.1 威胁模型

  • 采用卷积神经网络图像分类模型作为目标模型
  • 重点是在只有标签的场景下,对手只能访问标签预测Fw(x),通过输入图像x到目标模型FW

在这里插入图片描述
在这里插入图片描述

4.2 攻击模型

4.2.1 训练阶段

  • 训练一个生成器来进行模型反演攻击:
  1. 选择与目标模型任务相关的辅助数据集Daux
  2. 将辅助数据集中的数据x0输入到目标模型Fw中产生预测标签Fw(x0)
  3. 使用来自1的辅助数据集Daux,采用来自2的预测标签Fw(x0)作为指导训练的条件,来训练用于攻击的条件扩散模型Gθ
  • 通过在只有标签场景下,使用CDM攻击模型,改进了现有的MIA。使用目标模型的预测标签作为辅助数据的指导,将 预测标签下的辅助数据 与 目标模型对目标的决策 对齐,帮助攻击模型从数据中学习目标的一致特征

4.2.2 恢复阶段

  • 使用经过训练的生成器来恢复目标标签数据:
  1. 将多个标准正态分布噪声图像z和目标攻击标签l输入到训练好的条件扩散模型中,以预定义的引导强度恢复该标签的图像Gθ(z),为了解决在相同指导下的数据不是同一个实体,对数据质量有影响的问题,我们使用伽马校正来将生成的图像校正为Gθ(z)γ。
  2. 将校正后的生成图像Gθ(z)γ随机变换为T(Gθ(z)γ)并输入到目标模型中进行预测,然后重复该步骤M次。
  3. 从T(Gθ(z)γ)中选择前k个鲁棒生成的(最高比率)图像,展现独特的优势

五、实验部分

5.1 数据集

FaceScrub、MNIST、CelebA

5.2 指标

  • 认为定性更重要:使用学习感知图像块相似性(LPIPS)作为MIA的新评估指标
  • Attack Accuracy (Attack Acc)、
  • K-Nearest Neighbors Distance (KNN Dist)、
  • Frechet Inception Distance (FID)
努力努力不秃头!
关注
  • 20
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
AI人工智能大模型中——数据集就是一切 The dataset is everything
禅与计算机程序设计艺术
04-25 188
我认为对计算乘数的搜索比任何不严格遵守缩放定律的人想象的要普遍得多:实际上,机器学习领域的每一位不研究现有技术的新应用的科学家都应该执行计算效率扫描以确保他们的发现确实相关。不过,随着训练的进行,这些机制会“上线”:当您需要提高学习更复杂的数据分布层的能力时,它们就会提供有意义的价值。更重要的是,认识到像 GPT-4 或 DALL-E 3 这样的巨大模型仍然存在根本性缺陷,这表明试图从 Llama 2 或 Stable Diffusion 等相对较小的模型中获得真正智能的行为是没有希望的。
qd-messages-ts:无广告,无跟踪。 只是一个闪电般的对等跨平台Messenger,不会让您失望
02-03
二维消息描述qDesk Messages有望成为第一个功能齐全,跨平台,可公开审核,去中心化,实时,基于dag的端到端加密信使,并具有交换商品和服务并发送付款的功能。 在此模块中,您可以创建端到端的加密频道,将其组织在...
扩散模型】实战:创建一个类别条件扩散模型
小哲的博客
11-10 656
本文介绍一种给扩散模型添加额外条件信息的方法。具体地,将在MNIST数据集上训练一个以类别为条件扩散模型。并且可以在推理阶段指定想要生成的是哪个数字。
CS188 Project 2: Multi-Agent Search
m0_53455533的博客
09-16 3006
CS188 Project 2: Multi-Agent SearchQuestion 2 (5 points): Minimax原理方法代码结果Question 3 (5 points): Alpha-Beta Pruning原理方法代码结果Question 4 (5 points): Expectimax原理方法代码结果Question 5 (6 points): Evaluation Function原理方法代码结果数据及效果对比MinimaxAlpha-Beta PruningExpectimax收
CS188 Project 2: Multi-agents吃豆人
qq_46056318的博客
09-17 6233
CS188 Project 2: Multi-agents pacman用吃豆人表示,ghost用幽灵表示 1. Question 2: Minimax 题目描述:在multiAgents.py的MinimaxAgent中实现; minimax 代理必须可以处理任意数量的幽灵,所以对于每个最大层,最小最大树将有多个最小层(每个幽灵一个);在环境中运行的实际幽灵可能会部分随机地行动; 要求:将博弈树扩展到任意深度;重要提示:搜索的单个级别被认为是一个吃豆子移动和所有鬼魂的响应,因此深度 2 搜索将涉及吃豆
【人工智能】UC Berkeley 2021春季 CS188 Project 2: Multi-Agent Search Pacman吃豆人游戏
热门推荐
weixin_45942927的博客
09-17 1万+
本题目来源于UC Berkeley 2021春季 CS188 Artificial Intelligence Project2上的内容。
不可阻挡的加密钱包: Unstoppable Wallet
gitblog_00037的博客
05-18 387
不可阻挡的加密钱包: Unstoppable Wallet 项目地址:https://gitcode.com/horizontalsystems/unstoppable-wallet-android 在这个日益数字化的时代,我们梦想着一个私有财产不受侵犯、市场准入无条件的世界。这就是【Unstoppable Wallet】诞生的原因,这是一个为比特币、以太坊、币安智能链、雪崩协议、Solana等区...
使用scaffold-eth脚手架快速构建 Web3 Dapp 应用
Huifeng Tang 的博客
09-24 1074
使用scaffold-eth脚手架快速搭建一个Web3 Dapp应用前言上手开发运行环境部署 Scaffold-eth 脚手架 前言 Scaffold-eth 是以太坊上优秀作品的集合,让开发人员可以使用最先进的工具来快速学习和发布基于以太坊的Dapp。 Scaffold-eth不是产品本身,而是其他优秀产品的组合。它允许你快速构建和迭代你的智能合约和前端。它利用: hardhat:用于运行本地网络、部署和测试智能合约。 React:使用许多预制组件和hooks来构建前端。 Ant:用于构建你的UI,可
OS"Request failed: unacceptable content-type: text/html"
hxpp777的博客
12-12 317
以前用的好端端的接口,今天访问居然出错了,但是再用浏览器测试,发现可以正常返回数据,甚是奇怪啊。 下面是错误信息: 获取服务器响应出错 error=ErrorDomain=com.alamofire.error.serialization.response Code=-1016"Request failed: unacceptable content-type: text/html"UserI
命名实体识别问题(NER)系列——最大熵模型(ME)
gary101818的博客
12-14 5017
最大熵模型解决命名实体识别问题 最大熵模型 首先对最大熵模型进行简要的介绍(本文最大熵模型的实现方式为调用sklearn库中的LogisticRegression进行训练,对于最大熵模型的细节不做特殊要求) (1)最大熵模型是由以下条件概率分布表示的分类模型,可用于二类或多分类问题。 其中, Zw(x)Zw(x) 是规范化因子; wiwi 是特征权值; fi(x,y)fi(x,y) 是特征函数,描述输入 xx 和输出 yy 之间的某一个事实,其定义为: (2)对于给定的训练集T={(x1,y1),(x2
QD:只是一个闪电般的快速开源对等跨平台社交网络,不会让您失望
02-04
qD 跨平台不信任社交网络 如果遇到连接问题,可以在应用程序上尝试在“设置”>“ IPFS”中使用不同的。 描述 qD是我们JavaScript p2p库的示例应用程序,带有酷炫的开源模块,例如和以及即将推出的 , , , , 和 ...
Invasion-mod:UnstoppableN 的 Invasion mod 源代码
06-12
#入侵所以你认为你的基地很艰难,是吗?
website-api-docs:不可阻挡的域文档
07-24
Unstoppable Domains 网站 API 的实时文档托管在 。 可用脚本 在项目目录中,您可以运行: npm start 在开发模式下运行应用程序。 打开在浏览器中查看。 如果您进行编辑,页面将重新加载。 您还将在控制台中看到...
unstoppable-liam
03-07
UnstoppableTextFuture 该项目是使用版本11.2.3生成的。 开发服务器 为开发服务器运行ng serve 。... 如果您更改任何源文件,该应用程序将自动重新加载。 代码脚手架 运行ng generate component component-name生成一...
内积知识点小记
最新发布
liujianjun1536500976的专栏
06-21 414
对于两个向量a = [a₁, a₂,…, aₙ]和b = [b₁, b₂,…, bₙ],它们的点积定义为:a·b = a₁b₁ + a₂b₂ + … + aₙbₙ。使用矩阵乘法,把(纵列)向量当作n×1 矩阵,点积也可以写为:a·b = (a^T) * b,这里的a^T指示矩阵a的转置。
从GAN到WGAN(02/2)
gongdiwudu的专栏
06-14 1717
生成对抗网络 (GAN) 在许多生成任务中显示出巨大的效果,以复制现实世界的丰富内容,如图像、人类语言和音乐。它的灵感来自博弈论:两个模型,一个生成器和一个批评家,在相互竞争的同时使彼此更强大。然而,训练GAN模型是相当具有挑战性的,因为人们面临着训练不稳定或收敛失败等问题。在这里,我想解释一下生成对抗网络框架背后的数学原理,为什么很难训练,最后介绍一个旨在解决训练难点的GAN修改版本。
【CVPR2021】LoFTR:基于Transformers的无探测器的局部特征匹配方法
yohnyang的博客
06-18 939
【CVPR2021】LoFTR:基于Transformers的无探测器的局部特征匹配方法
[机器学习算法]线性回归
藓类少女的博客
06-18 560
Lasso回归:与岭回归类似,但使用的是模型参数的绝对值之和乘以 α。Lasso 回归不仅可以限制系数的大小,还可以将某些不重要的特征的系数缩小甚至置零,从而实现了自动的特征选择。通过实际的案例和练习来加深对线性回归算法的理解。例如,使用公开数据集进行房价预测,可以通过调整模型参数和处理数据来优化模型。3. 处理异常值和多重共线性:清理数据以及使用技术手段处理数据中的异常值和特征之间的相关性。评估线性回归模型的性能是理解其有效性的关键。这些概念构成了理解线性回归模型的基础。
ndk llvm/prebuilt/linux-x86_64/bin/ld: cannot find -lgpgme
07-15
您好!对于您的问题,这个错误是由于编译器找不到名为"libgpgme"的库文件引起的。要解决这个问题,您可以尝试以下几种方法: 1. 确保您已经正确安装了"gpgme"库。您可以使用包管理器(如apt、yum或brew)来安装该库。例如,在Ubuntu上,您可以运行以下命令来安装它: ``` sudo apt-get install libgpgme11-dev ``` 2. 如果您已经安装了"gpgme"库但仍然出现此错误,请检查库文件的位置是否正确。您可以使用`find`命令来查找库文件的位置。例如,在Linux上,您可以运行以下命令来查找库文件: ``` find / -name libgpgme.so* ``` 确保找到的库文件路径与编译器尝试查找的路径匹配。如果它们不匹配,您可以使用`-L`选项告诉编译器在指定路径中查找库文件。例如: ``` gcc -L/path/to/libraries -o your_program your_program.c -lgpgme ``` 3. 如果您的库文件是自定义构建的或位于非标准位置,您可能需要手动设置LD_LIBRARY_PATH环境变量来指定库文件的路径。例如: ``` export LD_LIBRARY_PATH=/path/to/libraries:$LD_LIBRARY_PATH ``` 请注意,上述方法可能因操作系统和编译环境的不同而有所差异。您可以根据自己的情况选择适合的方法来解决问题。希望这些信息对您有所帮助!如果您有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值