分享自:

协作推理中的模型反转攻击

期刊:Annual Computer Security Applications ConferenceDOI:10.1145/3359789.3359824

这篇文档属于类型a,即报告了一项原创性研究。以下是基于文档内容的学术报告:

主要作者及机构
本研究的作者包括Zecheng He(普林斯顿大学)、Tianwei Zhang(南洋理工大学)和Ruby B. Lee(普林斯顿大学)。研究发表于2019年12月的ACM年度计算机安全应用会议(ACSAC ‘19)。

学术背景
随着深度学习技术的快速发展,数据隐私保护成为重要议题。以往的研究主要集中在训练数据隐私的保护上,而忽略了推理(inference)过程中的隐私问题。本研究首次系统地探讨了在协作深度学习系统中推理数据的隐私威胁。协作推理(collaborative inference)是一种将深度神经网络分割并分配到多个参与者的计算模式,广泛应用于边缘计算(edge computing)和云计算场景。然而,这种模式可能使恶意参与者通过中间值恢复敏感输入数据。本研究旨在揭示协作推理系统中的隐私漏洞,并提出相应的攻击技术,为设计更安全的协作系统提供指导。

研究流程
本研究分为以下几个主要步骤:

  1. 问题定义与威胁模型构建
    研究首先定义了协作推理系统中的隐私威胁模型。假设在一个协作推理系统中,深度神经网络被分割为多个部分,分别由不同的参与者执行。其中,一个恶意参与者试图通过中间值恢复输入数据。研究者考虑了三种不同的攻击场景:白盒攻击(white-box attack)、黑盒攻击(black-box attack)和无查询攻击(query-free attack)。

  2. 白盒攻击技术开发
    在白盒攻击场景中,假设攻击者知道目标模型的结构和参数。研究者提出了一种基于正则化最大似然估计(Regularized Maximum Likelihood Estimation, RMLE)的技术来恢复输入数据。该技术通过优化目标函数,最小化中间值与生成样本之间的欧氏距离,并结合总变差(Total Variation, TV)正则化确保生成样本的自然性。实验在MNIST和CIFAR10数据集上进行,评估了不同分割点对攻击效果的影响。

  3. 黑盒攻击技术开发
    在黑盒攻击场景中,攻击者无法直接访问目标模型的结构和参数,但可以通过查询系统获取中间值。研究者提出了一种逆向网络(Inverse-Network)技术,通过训练一个逆向映射函数,直接从中间值恢复输入数据。实验对比了使用相同训练集、相同分布数据集和随机生成数据集的效果,验证了该技术的有效性。

  4. 无查询攻击技术开发
    在无查询攻击场景中,攻击者既无法查询系统,也不知道目标模型的结构和参数。研究者提出了一种影子模型重构(Shadow Model Reconstruction)技术,通过已知的后续模型部分和数据集,重构目标模型的前半部分,然后使用RMLE技术恢复输入数据。实验评估了不同训练集和网络结构对攻击效果的影响。

  5. 实验结果与分析
    研究在MNIST和CIFAR10数据集上进行了大量实验,评估了不同攻击技术的效果。通过峰值信噪比(PSNR)和结构相似性指数(SSIM)等指标,量化了恢复图像的质量。结果表明,在白盒和黑盒场景下,攻击者能够高效地恢复输入数据;在无查询场景下,攻击效果有所下降,但仍具有一定的可行性。

  6. 系统特征与防御策略探讨
    研究者进一步分析了系统特征对攻击效果的影响,例如网络分割点的选择和模型深度。研究发现,在协作推理系统中,将全连接层(fully-connected layer)部署在可信参与者端可以显著提高隐私保护能力。此外,研究者还讨论了多种防御策略,包括可信执行环境(Trusted Execution Environment, TEE)、差分隐私(Differential Privacy)和同态加密(Homomorphic Encryption)等。

主要结果
1. 在白盒攻击场景中,RMLE技术能够高效恢复输入数据,尤其是在分割点位于浅层时,恢复图像的质量较高。
2. 在黑盒攻击场景中,逆向网络技术在大多数情况下能够成功恢复输入数据,且使用相同分布的数据集与使用原始训练集的效果相近。
3. 在无查询攻击场景中,影子模型重构技术虽然效果较差,但仍具有一定的可行性,尤其是在攻击者知道训练数据分布的情况下。
4. 系统特征分析表明,网络分割点的选择和模型深度对攻击效果有显著影响,将全连接层部署在可信参与者端可以有效提高隐私保护能力。

结论
本研究首次系统地探讨了协作推理系统中的推理数据隐私问题,提出了一系列攻击技术,并验证了其有效性。研究揭示了协作推理系统中潜在的隐私漏洞,为设计更安全的协作深度学习系统提供了重要指导。研究还分析了系统特征对攻击效果的影响,并提出了多种防御策略,为未来的研究奠定了基础。

研究亮点
1. 首次系统地研究了协作推理系统中的推理数据隐私问题,填补了该领域的研究空白。
2. 提出了三种针对不同攻击场景的技术(RMLE、逆向网络和影子模型重构),展示了攻击者在不同条件下的能力。
3. 通过大量实验验证了攻击技术的有效性,并量化了恢复图像的质量。
4. 分析了系统特征对攻击效果的影响,提出了多种防御策略,为设计更安全的协作系统提供了实用建议。

其他有价值的内容
本研究还探讨了协作推理系统在边缘计算和云计算中的应用场景,分析了其在实际部署中可能面临的隐私挑战。研究结果不仅对学术界具有重要意义,也为工业界提供了实用的隐私保护方案。

这篇报告详细介绍了研究的背景、方法、结果和意义,旨在为其他研究者提供全面的参考。

上述解读依据用户上传的学术文献,如有不准确或可能侵权之处请联系本站站长:admin@fmread.com