【论文阅读】Exploring Model Inversion Attacks in the Black-box Setting 黑盒环境下的模型反演攻击研究,模型推理攻击,逆向攻击

已于 2024-06-15 17:42:07 修改
阅读量973 收藏 27
点赞数 16
分类专栏: 推理攻击 文章标签: 深度学习 人工智能 神经网络 计算机视觉 网络攻击模型 网络安全 安全威胁分析
于 2024-05-29 14:08:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49946504/article/details/139294146
版权

最近要看一些推理攻击的内容,把看过的都放过来吧
Exploring Model Inversion Attacks in the Black-box Setting
黑盒环境下的模型反演攻击研究
PETS CCFC 2023

文章目录

一、论文信息

1. 题目

Deep Models Under the GAN: Information Leakage from Collaborative Deep Learning
GAN下的深度模型:协作深度学习的信息泄漏
在这里插入图片描述

2. 作者

Antreas Dionysiou、Vassilis Vassiliades、Athanasopoulos
塞浦路斯大学

3. 期刊年限

  • PETS
  • CCFC
  • 2023

4. 关键词

Model inversion, inference attack, security, privacy

二、背景

  1. 机器学习、深度学习不安全,隐私问题很大,文章关注模型反转攻击,目标是生成类似于训练目标模型的原始输入的输入
  2. MI 攻击的有效性和效率有很大差异,(对手可获得的有关目标模型的信息及其复杂程度、白盒黑盒的差异、模型复杂度) ,所展示算法的优点缺点各不相同
  3. 文章提出了关于黑盒环境中 MI 攻击的有效性和效率的可行性研究。
    • 原因
      • 与该领域具有明确基线的其他攻击相比,MI 具有概率性质,对于 MI 攻击何时被认为有效,科学上尚未达成共识
      • 引入的黑盒 MI 攻击在训练类推理设置中运行,被认为是困难的,在某些情况下是不可能的,工作旨在探索在中等复杂性目标上以最小的开销进行黑盒 MI 攻击的可行程度
  4. 提出了 Deep-BMI(深度黑盒模型反演),模块化 MI 框架,支持各种黑盒连续优化算法,以最大化目标模型的置信度得分
  5. 如何解决黑盒环境中的 MI 问题?
    • 从随机像素开始并不断扰动它们,直到目标类别的置信度得分最大化。优点是简单且具有生成性,但是会生成欺骗图像。
    • 根据对手的背景知识绘制更通用的数据集,用于训练生成反演模型。可以使用与目标模型的训练集描述性相似的公共数据集的图像。 优点在于假设两个集合中包含的图像共享特征,这将使公共集合中的某些图像可能最大化目标模型某一类的置信度得分,但是,无法充分利用训练类推理攻击设置中描述性相似数据集的全部潜力

三、创新

  • 提出了 Deep-BMI(深度黑盒模型反演),模块化 MI 框架,支持各种黑盒连续优化算法,以最大化目标模型的置信度得分
  1. 在MIA中,第一个重建可识别图像的人,效率高
  2. Deep-BMI 支持多种黑盒优化器或对手类型,以攻击时间换取性能。
  3. 通过实验证明,为每个目标类别返回多个不同解决方案的优化器是对深度图像识别模型进行 MI 攻击的最有效的方法

四、方法

4.1 威胁模型

  • 重点关注黑盒攻击, Deep-BMI 仅通过利用获胜类别的置信度分数来重建可识别的数字和面孔。
  • 目标是在实施 MI 攻击时最大限度地减少对目标模型的查询数量。
  • 具有过多查询需求的黑盒 MI 攻击:
    • 效率低下
    • 可能会引起目标系统的怀疑
    • 具有无限查询的黑盒对手可以近似白盒对手的性能

在这里插入图片描述

4.2 攻击模型

  1. 采用自动编码器,通过编码然后解码每个辅助样本来离线训练 CVAE,最大减少重建损失
  2. Deep-BMI 将目标模型的查询数量与描述性相似数据集的大小解耦;
  3. Deep-BMI是设计的模块化MI框架,支持多种黑盒优化方法

五、实验部分

5.1 数据集

MNIST、EMNIST-letters

努力努力不秃头!
关注
  • 16
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
论文阅读-Exploring Frequency Adversarial Attacks for Face Forgery Detection(探索用于人脸伪造检测的频率对抗性攻击
一位不是很硕的鉴伪方向硕士
11-20 1797
虽然现有的人脸伪造分类器在检测伪造图像取得的性能不错,但很容易受到在像素上注入不可感知的扰动的对抗例子的攻击,同时许多人脸伪造检测器总是利用真假人脸之间的频率差异作为关键线索,本文提出一种针对人脸伪造检测器的频率对抗性攻击方法,这种方法更不易被人类察觉,且不会降低原始图像的视觉质量。还提出基于空域和频域混合对抗性攻击,该方法不仅能有效地欺骗基于空间的检测器,还能有效地欺骗基于频域的检测器。
【大模型迁移 2022】Exploring Visual Prompts for Adapting Large-Scale Models
梁瑛平的博客
09-26 1428
本文研究了视觉提示(visual prompting)对适应大规模视觉模型的有效性。根据最近的提示调优(prompt tuning)和敌对抗重编程(adversarial reprogramming)方法,本文提出学习一个单一的图像扰动,然后由这个扰动提示的冻结模型执行一个新的任务。通过全面的实验,本文证明了 visual prompting 对 CLIP 特别有效,并且对分布转移具有鲁棒性,实现了与标准线性探头竞争的性能。本文进一步分析了下游数据集的特性、及时设计和输出转换的适应性性能。
对抗样本攻击的机器学习
12-27
机器学习领域下的对抗样本攻击是目前研究的热点,这是伯克利分校的入门教材。
模型反演攻击:Neural Network Inversion in Adversarial Setting via Background Knowledge Alignment
zyz20001028的博客
05-04 5276
模型反演攻击:Neural Network Inversion in Adversarial Setting via Background Knowledge Alignment 背景 定义: 旨在通过模型的预测输出获取关于模型的训练数据或者测试数据的信息 方法 此前的模型反演攻击的方法主要有以下两类: Optimization-based approach: 把反演问题变为一个优化问题,通过梯度构建出最佳的对应于目标类的数据x^\widehat{x}x,目标是使得Fw(x)F_{w}(x)Fw​(x)
Privacy Leakage on DNNs: A Survey of Model Inversion Attacks and Defenses 翻译
m0_65780368的博客
06-26 718
模型反演[Fredrikson 等人,2014;Wang 等人,2021a] 是一种旨在通过反转给定的预训练模型 fθ 来恢复私有训练数据集 X(如图像、文本和图形)的攻击类型。与仅揭示训练数据部分信息的成员资格推断攻击或属性推断攻击不同[Jegorova 等人,2022],MI 使攻击者能够完全重建私有训练样本,这引起了日益增长的担忧。
论文阅读】Reinforcement Learning-Based Black-Box Model Inversion Attacks
Yogurtboyyy的博客
06-16 448
强化学习
Model Inversion Attacks that Exploit Confidence Informati on and Basic Countermeasures 阅读心得
zzdxls的博客
07-27 2876
Model Inversion Attacks that Exploit Confidence Informati on and Basic Countermeasures 阅读心得
论文笔记08】Model inversion attacks that exploit confidence information and basic countermeasures 模型反转攻击
weixin_45632492的博客
04-02 5242
目录导引系列传送Model inversion attacks that exploit confidence information and basic countermeasures1 Abstract2 Background2.1 ML basis2.2 ML APIs2.3 Threat models3 The Fredrikson et al. attack4 Map inverters for trees4.1 Decision Tree4.2 DT APIs5 Facial recogniti
人工智能-语音识别-鲁棒语音识别中的模型自适应算法研究与实现.pdf
06-28
鲁棒语音识别中的模型自适应算法研究与实现 本文主要研究了鲁棒语音... Future work includes further improving the robustness of the speech recognition system and exploring other model adaptive algorithms.
[论文笔记] 揭开缺陷:探索合成中的缺陷——大型语言模型的数据和缓解策略 Unveiling the Flaws: Exploring Imperfections in Synthetic Data
最新发布
心宝的博客
07-12 271
然而,尽管合成数据具有潜在的优势,我们的分析表明,合成数据可能存在内在的缺陷。合成数据的统一格式可能导致模式过拟合,并引起输出分布的显著变化,从而降低模型的指令遵循能力。我们的研究深入探讨了与问答(Q-A)对这一常见类型合成数据相关的具体缺陷,并提出了一种基于“去学习”技术来缓解这些缺陷的方法。实验证据表明,我们的方法能够逆转由模式过拟合引起的指令遵循问题,同时在相对较低的成本下,不会影响基准测试上的性能。我们的工作提供了合成数据有效使用的重要见解,旨在促进更稳健和高效的LLM训练。
深度学习攻击方式汇总
05-22
本文介绍了几种深度学习攻击方式,包括成员推理攻击模型反演攻击,GAN攻击,降维攻击以及一些其他的攻击方式
转载:建模与反演
weixin_30399797的博客
08-22 721
建模是指就某种物理过程,建立与之对应的数学方程或方程组的问题; 反演,就是用已知值推未知值,就像解方程或解方程组的问题。 基于模型知识基础上,依据可测参数值去反推目标的实时状态参数。 建模的方法大体有两种: 一种基于大量实验数据,应用统计方法归纳而成,一般称它为统计模型; 另一种基于已知的物理规律,通过演绎而获得解析表达式,一般称它为解析模型。 统计模型比较简单,便于反演,但...
Contrastive Model Inversion for Data-Free Knowledge Distillation
weixin_37958272的博客
06-11 785
Contrastive Model Inversion for Data-Free Knowledge Distillation 模型反演的目标是从预先训练好的模型中恢复训练数据,最近已被证明是可行的。然而,现有的反转方法通常存在模式崩溃问题,即合成的实例彼此高度相似,因此对下游任务(如知识提炼)的有效性有限。在本文中,我们提出了对比性模型反演(CMI),其中数据多样性被明确地建模为一个可优化的目标,以缓解模式塌陷问题。我们的主要观察结果是,在相同数据量的约束下,更高的数据多样性通常表明更强的实例辨别能力。
人工智能安全(一)—攻击
weixin_44714808的博客
08-01 1056
开始写一写论文的总结,慢慢补 1.《BadNets Identifying Vulnerabilities in the Machine Learning Model Supply Chain》 概述:在一张图片上增加一个或者几个像素点来扰乱模型的准确性,导致在某些特定的训练集上精度异常低。 2.《Deep Neural Networks are Easily Fooled: High Confidence Predictions for Unrecognizable Images》 概述:利用遗传算法生
论文阅读Model Inversion Attacks that Exploit Confidence Information and Basic Countermeasures 利用模型逆向攻击
weixin_49946504的博客
05-26 843
最近要看一些推理攻击的内容,把看过的都放过来吧,Model Inversion Attacks that Exploit Confidence Information and Basic Countermeasures,利用置信信息的模型反演攻击及其基本对策,ACM SIGSAC 2015
(2023,正则化 & 模型增强)重新思考针对深度神经网络模型反演攻击
qq_44681809的博客
06-15 736
本文的主要贡献有两点:SOTA 模型反演 (Model inversion,MI) 算法的优化目标是次优的,本文使用正则化改进了优化目标;2)“MI 过拟合”阻止重建图像学习训练数据的语义,本文提出基于知识蒸馏的“模型增强”来解决问题。
non-stationary transformers: exploring the stationarity in time series forec
11-18
非静态变压器采用了一种自适应的方式来处理时间序列数据,使得模型能够随着时间的推移自动调整参数和权重。 非静态变压器的核心原理是通过引入可学习的非静态参数,将时间序列的静态性和非静态性相结合。这样,模型...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值