【五期梁锐】CCF-A(USENIX'22)ML-Doctor: Holistic Risk Assessment of Inference Attacks Against Machine Learning Models

Liu, Yugeng, et al. "ML-Doctor: Holistic risk assessment of inference attacks against machine learning models." arXiv preprint arXiv:2102.02551 (2021).

  本篇论文从机器学习中推理攻击着手，指出了通过推理攻击可以让攻击者非常容易获取用户隐私信息，虽然针对目前已有各种具体攻击的研究取得一定成效，但对这一类攻击并没有全局认识。作者提出一个叫做ML-DOCTOR的框架来评估机器学习模型可承受各种攻击风险，实现对推理攻击作出全局性的研究。除此之外，作者借此详细分析了不同推理攻击之间的关系以及对现有的针对推理攻击的防御方法进行研究。
  这篇论文对已有的推理攻击进行归类，并从目标模型的访问权限与辅助数据集这两个维度来对推理攻击应用场景进行划分，接着向大家介绍了目前常见的四种推理攻击方法，通过ML-DOCTOR，用户将数据和目标模型作为输入，通过不同的攻击模块和防御模块，判断该模型受攻击的脆弱性以及防御策略的有效性。其优点是基于模块化设计，所应用的攻击模块和防御模块都可以自行定义。作者从数据集复杂度、模型过拟合程度等因素考虑对推理攻击的影响以及实验研究不同攻击手段的相互联系。从实验中可知数据集复杂度对不同推理攻击有着显著的影响，而对于高度过拟合的模型，成员推理攻击的成功率较高，而模型窃取成功率较低，通过实验作者得出成员推理攻击与模型窃取攻击存在负相关的关系。
  这篇论文对推理攻击进行了全局性的研究，提出了一种推理攻击攻击手段的分类方法，以及一个判断机器学习模型遭受推理攻击成功率的评估工具。通过实验，作者发现训练数据集的复杂度及模型的过拟合程度对推理攻击的成功率有着不同程度的影响，以及不同攻击方式之间的关联性，此外，从实验中也得出DP-SGD和KD(知识蒸馏)这两种现有的防御方法并不能对所有的推理攻击有效。

2023年01月13日