Membership Leakage in Label-Only Exposures
Proceedings of the 2021 ACM SIGSAC Conference on Computer and Communications Security
针对机器学习模型的唯标签成员推理攻击
转移攻击:假设攻击者拥有一个辅助数据集(影子数据集),该数据集与目标模型的训练集来自相同的分布,然后攻击者把自身持有的数据集输入目标模型,获得对应的输出标签,利用这些输入输出对来在本地构建影子模型来模拟目标模型的行为。
边界攻击:收集数据,尤其是敏感和隐私数据实际上是一项艰巨的任务,考虑这样的场景:攻击者没有可用的影子数据集和影子模型,这导致攻击者信息不足。因此把目光聚焦到输入 上,直觉是:与非成员数据样本相比,更难把成员样本扰动到不同的类中。攻击者在候选数据样本上查询目标模型,干扰它们以更改模型的预测标签。然后攻击者可以利用扰动的大小来区分成员和非成员。
然后就是实验证明性能好,也针对了多种防御机制进行攻击(泛化增强,隐私增强和置信度得分扰动),结果表明可以绕过大多数防御,除非应用了大量正则化,但是大量正则化会导致模型的准确性显著下降。
贡献:1.基于决策的MIA;2.两种场景下基于决策的攻击;3.提出一个关于成员推理成功原因的新视角,进行了定量定性分析,证明了ML模型的成员比非成员更加原理模型的决策边界;4.针对防御策略进行评估
转移攻击
直觉:可转移性属性在影子模型 S 和目标模型 M 之间成立。几乎所有相关工作都集中在对抗性样本的可转移性上,即对抗性样本可以在为同一任务训练的模型之间转移。与这些工作不同,我们专注于良性数据样本的成员信息可传递性,即在 M 中行为不同的成员和非成员数据样本在 S 中也会有不同的行为。然后,我们可以利用影子模型发起基于分数的成员资格推理攻击。
转移攻击的方法可以分为四个阶段,即影子数据集重新标注、影子模型架构选择、影子模型训练和成员推理。
数据标注:数据传入目标模型获取的输出就是标注
影子模型架构:由于攻击者知道目标模型的主要任务,因此它可以使用分类任务的高级知识(例如,卷积网络适合视觉)构建影子模型。(攻击者是根据经验进行的猜测)
MI:攻击者将候选数据样本馈送到训练好的影子模型中 𝒮 ,以计算其与真实标签的交叉熵损失。(候选数据样本和影子数据集不一样)
也是选择合适的阈值作为判断标准。文中的评估指标使用与阈值无关的ROC曲线下面积AUC
下面的结果表明,影子模型越复杂,数据集大小越大,得到的结果越好
边界攻击
攻击者没有用于训练影子模型的影子数据集。他们所能依赖的只是目标模型的预测标签。
直觉:由于 ML 模型对成员数据样本更有信心,因此应该更难改变主意。
图6描述了两个随机选择的成员数据样本a,c和非成员样本b,d相对于CIFAR-10上训练的M-0的置信度分数。可以观察到,成员样本的最大分数确实比非成员样本的最大值高得多。
表 2 显示了这些样本的置信度分数和其他标签之间的交叉熵。我们可以看到,成员样本的交叉熵明显大于非成员样本 。这导致了对成员信息的以下观察:给定一个 ML 模型和一组数据样本,更改成员样本的目标模型预测标签的成本大于非成员样本的成本。此外,考虑黑盒 ML 模型中的仅标签暴露,这意味着对手只能扰动数据样本以更改目标模型的预测标签,因此更改成员样本的预测标签所需的扰动大于非成员。然后,攻击者可以利用扰动的大小来确定样本是否为成员。
攻击方法包括以下三个阶段,即决策改变、扰动测量和成员推理。
决策改变:改变最终模型决策的目标,即预测标签。简单起见,利用对抗性示例技术来扰乱输入以误导目标模型。具体来说,利用了两种最先进的黑盒对抗攻击,即 HopSkipJump [12] 和 QEBA [30],它们只需要访问模型的预测标签。
扰动测量:对抗性攻击技术通常使用 Lp 距离(或 Minkowski 距离),例如 L0 、 L1 、 L2和 L∞ 来测量受扰动样本与其原始样本之间的感知相似性。因此,使用 Lp 距离来测量扰动。
MI:还是设定阈值
下面是阈值选择算法:
成员泄露分析
见原文