【五期邹昱夫】CCF-A(SP'22)Membership inference attacks from first principles.
本文认为成员推理攻击应该通过以低(例如,≤0.1%)假阳性率计算攻击的真阳性率来评估成员推理攻击的攻击效果,既可靠地侵犯敏感数据集中的少数用户的隐私作为攻击成功标志,而不是不可靠地获得高总攻击成功率。并开发了一种似然比攻击(LiRA)。"Carlini, Nicholas, et al. "Membership inference attacks from first principles." 2022 IEEE Symposium on Security and Privacy (SP). IEEE, 2022."
本文的似然比攻击:在数据分布D的随机样本上训练N个影子模型,使得这些模型中的一半在目标点上训练,而一半没有训练(我们分别将这些模型称为目标点的IN和OUT模型)。然后,我们将两个Gaussian拟合到目标点上的IN和OUT模型的置信度(在logit尺度上)。最后,我们在目标模型上查询目标点的置信度,并输出参数似然比检验。
本文的优点在于发现了以前研究的问题,不可靠地获得高总攻击成功率的攻击不应被视为成功。然后能够根据这个问题,对前面问题的做出自己的改进,提出了以可靠性作为新的评估标准,并以此做出了大量的实验研究。
本文的缺点在于其提出的似然性攻击可信度。文章在准备攻击时设定了大量的特殊条件,导致攻击的可信度降低。
2023年1月20日