【五期邹昱夫】Enhanced Membership Inference Attacks against Machine Learning Models
文章关注机器学习模型的隐私泄露问题,成员推理攻击:给出一条样本,可以推断该样本是否在模型的训练数据集中——即便对模型的参数、结构知之甚少,该攻击仍然有效。本质还是使用影子模型的方法训练攻击模型。但是针对攻击者不知道目标模型的训练集,文章提出了影子学习的技术,构建与原目标模型训练集相似的数据集,在此数据集上训练同种模型(影子模型,shadow model)"arXiv:2111.09679, 2021."
影子学习:
1.Model-based synthesis: 直观上,如果目标模型以很高的概率给出了某条record的类别,那么该record与目标模型训练集中的数据应该是十分相似的。所以,可以用目标模型本身来构建影子模型的训练数。合成过程分为两个阶段:(1)使用爬山算法搜索可能的数据记录空间,以高置信度找到目标模型分类的输入;(2)从这些记录中提取合成数据。在这个过程合成记录之后,攻击者可以重复它,直到影子模型的训练数据集已满。
2.Statistics-based synthesis: 攻击者知道目标模型训练数据的分布信息。例如,攻击可以预先知道不同特征的边缘分布。
3.Noisy real data: 攻击者可以访问一些与目标模型的训练数据相似的数据,可以将其视为加躁版本,直接使用。
文章使用的攻击方法是基于LOSS的攻击方法。原理是随着模型精度越高,训练数据的LOSS值也会变得越来越低。因此训练过的数据同测试数据相比,LOSS值会更低,可以因此实现成员推理攻击。
文章优点:提出影子学习的方法构建影子数据集,这种方法对于实践具有一定的指导作用。
文章缺点:实验模型选择。本质上文章还是利用了目标模型再训练数据上的预测向量熵值低而在非训练集数据上的预测向量熵值高这一点。但是其实验选择的模型过于极端,大部分是训练数据90%左右的判断成功率。训练数据20%左右的判断成功率。
2023年1月13日