Een van de wonderen van machine learning is dat het alle soorten gegevens omzet in wiskundige vergelijkingen. Zodra je een machine learning-model op trainingsvoorbeelden - of het nu gaat om afbeeldingen, audio, onbewerkte tekst of tabelgegevens - wat u krijgt is een set numerieke parameters. In de meeste gevallen heeft het model de trainingsdataset niet langer nodig en gebruikt het de afgestemde parameters om nieuwe en ongeziene voorbeelden toe te wijzen aan categorieën of waardevoorspellingen.

U kunt vervolgens de trainingsgegevens weggooien en het model op GitHub publiceren of op uw eigen servers uitvoeren zonder dat u zich zorgen hoeft te maken over het opslaan of verspreiden van gevoelige informatie in de trainingsdataset.

Maar een type aanval dat 'lidmaatschapsinferentie' wordt genoemd, maakt het mogelijk om de gegevens te detecteren die worden gebruikt om een ​​machine learning-model te trainen. In veel gevallen kunnen de aanvallers lidmaatschapsinferentieaanvallen organiseren zonder toegang te hebben tot de parameters van het machine learning-model en alleen door de uitvoer ervan te observeren. Inferentie van lidmaatschap kan beveiligings- en privacyproblemen veroorzaken in gevallen waarin het doelmodel is getraind op gevoelige informatie.

Van data tot parameters

Boven: diepe neurale netwerken gebruiken meerdere lagen met parameters om invoergegevens toe te wijzen aan uitvoer

Elk machine learning-model heeft een reeks 'geleerde parameters', waarvan het aantal en de relaties variëren afhankelijk van het type algoritme en architectuur dat wordt gebruikt. Eenvoudige regressie-algoritmen gebruiken bijvoorbeeld een reeks parameters die invoerfuncties rechtstreeks toewijzen aan de uitvoer van het model. Neurale netwerkengebruik daarentegen complexe lagen van parameters die de invoer verwerken en deze aan elkaar doorgeven voordat ze de laatste laag bereiken.

Maar ongeacht het type algoritme dat u kiest, doorlopen alle machine learning-modellen tijdens de training een soortgelijk proces. Ze beginnen met willekeurige parameterwaarden en stemmen deze geleidelijk af op de trainingsgegevens. Machinaal leren onder toezicht algoritmen, zoals die worden gebruikt bij het classificeren van afbeeldingen of het detecteren van spam, stemmen hun parameters af om invoer toe te wijzen aan verwachte resultaten.

Stel dat u bijvoorbeeld een diep leren model afbeeldingen in vijf verschillende categorieën indelen. Het model kan bestaan ​​uit een set van convolutionele lagen die de visuele kenmerken van de afbeelding extraheren en een reeks dichte lagen die de kenmerken van elke afbeelding vertalen in betrouwbaarheidsscores voor elke klasse.

De uitvoer van het model is een reeks waarden die de waarschijnlijkheid vertegenwoordigen dat een afbeelding tot elk van de klassen behoort. Je kunt ervan uitgaan dat de afbeelding tot de klasse met de hoogste waarschijnlijkheid behoort. Een uitvoer kan er bijvoorbeeld als volgt uitzien:

Kat: 0.90
Hond: 0.05
Vis: 0.01
Boom: 0.01
Boot: 0.01

Voorafgaand aan de training zal het model onjuiste uitvoer leveren omdat de parameters willekeurige waarden hebben. Je traint het door het te voorzien van een verzameling afbeeldingen en de bijbehorende klassen. Tijdens de training stemt het model de parameters geleidelijk af, zodat de output-vertrouwensscore zo dicht mogelijk bij de labels van de trainingsbeelden komt.

Kortom, het model codeert de visuele kenmerken van elk type afbeelding in zijn parameters.

Inferentieaanvallen op lidmaatschap

Een goed machine learning-model is een model dat niet alleen zijn trainingsgegevens classificeert, maar ook zijn mogelijkheden generaliseert naar voorbeelden die het nog niet eerder heeft gezien. Dit doel kan worden bereikt met de juiste architectuur en voldoende trainingsdata.

Maar over het algemeen presteren machine learning-modellen meestal beter op hun trainingsgegevens. Als u bijvoorbeeld teruggaat naar het bovenstaande voorbeeld, als u uw trainingsgegevens combineert met een heleboel nieuwe afbeeldingen en ze door uw neurale netwerk laat lopen, zult u zien dat de vertrouwensscores die het geeft op de trainingsvoorbeelden hoger zullen zijn dan die van de afbeeldingen die het nog niet eerder heeft gezien.

Boven: Machine learning-modellen presteren beter op trainingsvoorbeelden dan op ongeziene voorbeelden

Inferentieaanvallen voor lidmaatschap maken gebruik van deze eigenschap om de voorbeelden te ontdekken of te reconstrueren die worden gebruikt om het machine learning-model te trainen. Dit kan gevolgen hebben voor de privacy van de mensen van wie de gegevensrecords zijn gebruikt om het model te trainen.

Bij inferentieaanvallen op basis van lidmaatschap hoeft de tegenstander niet per se kennis te hebben van de innerlijke parameters van het beoogde machine learning-model. In plaats daarvan kent de aanvaller alleen het algoritme en de architectuur van het model (bijv. SVM, neuraal netwerk, enz.) Of de service die is gebruikt om het model te maken.

Met de groei van machine learning as a service (MaaS) -aanbiedingen van grote technologiebedrijven zoals Google en Amazon, worden veel ontwikkelaars gedwongen om ze te gebruiken in plaats van hun modellen helemaal opnieuw te bouwen. Het voordeel van deze services is dat ze veel van de complexiteit en vereisten van machine learning abstraheren, zoals het kiezen van de juiste architectuur, het afstemmen van hyperparameters (leersnelheid, batchgrootte, aantal tijdvakken, regularisatie, verliesfunctie, enz.), En het instellen van de computerinfrastructuur opvoeren die nodig is om het trainingsproces te optimaliseren. De ontwikkelaar hoeft alleen een nieuw model op te zetten en deze te voorzien van trainingsgegevens. De service doet de rest.

De afweging is dat als de aanvallers weten welke service het slachtoffer heeft gebruikt, ze dezelfde service kunnen gebruiken om een ​​aanvalsmodel voor lidmaatschapsinferenties te maken.

In feite, op het IEEE-symposium over beveiliging en privacy 2017, onderzoekers van Cornell University voorgestelde een aanvalstechniek voor lidmaatschapsinferenties die werkte op alle belangrijke cloudgebaseerde machine learning-services.

Bij deze techniek maakt een aanvaller willekeurige records voor een doelmodel voor machine learning dat wordt aangeboden op een cloudservice. De aanvaller voert elk record in het model in. Op basis van de vertrouwensscore die het model retourneert, stemt de aanvaller de functies van de plaat af en voert deze opnieuw uit door het model. Het proces gaat door totdat het model een zeer hoge betrouwbaarheidsscore bereikt. Op dit punt is het record identiek aan of lijkt het sterk op een van de voorbeelden die zijn gebruikt om het model te trainen.

Boven: Inferentieaanvallen op lidmaatschap observeren het gedrag van een doelmodel voor machine learning en voorspellen voorbeelden die zijn gebruikt om het te trainen.

Na het verzamelen van voldoende betrouwbare records, gebruikt de aanvaller de dataset om een ​​reeks "schaduwmodellen" te trainen om te voorspellen of een datarecord deel uitmaakte van de trainingsdata van het doelmodel. Hierdoor ontstaat een ensemble van modellen waarmee een inferentieaanvalmodel voor lidmaatschap kan worden getraind. Het uiteindelijke model kan vervolgens voorspellen of een datarecord is opgenomen in de trainingsdataset van het doelmodel voor machine learning.

De onderzoekers ontdekten dat deze aanval succesvol was op veel verschillende machine learning-services en -architecturen. Hun bevindingen tonen aan dat een goed getraind aanvalsmodel ook het verschil kan zien tussen leden van de trainingsdataset en niet-leden die een hoge vertrouwensscore krijgen van het beoogde machine learning-model.

De grenzen van het afleiden van het lidmaatschap

Inferentieaanvallen op lidmaatschap zijn niet succesvol bij alle soorten machine learning-taken. Om een ​​efficiënt aanvalsmodel te maken, moet de tegenstander de feature-ruimte kunnen verkennen. Als een machine-leermodel bijvoorbeeld gecompliceerde afbeeldingsclassificatie (meerdere klassen) uitvoert op foto's met een hoge resolutie, zullen de kosten voor het maken van trainingsvoorbeelden voor de aanval op lidmaatschapsinferenties onbetaalbaar zijn.

Maar in het geval van modellen die werken met gegevens in tabelvorm, zoals financiële en gezondheidsinformatie, kan een goed ontworpen aanval mogelijk gevoelige informatie extraheren, zoals associaties tussen patiënten en ziekten of financiële gegevens van de doelgroep.

Boven: overfitte modellen presteren goed op trainingsvoorbeelden, maar slecht op ongeziene voorbeelden.

Inferentie van lidmaatschap wordt ook sterk geassocieerd met "overfitting, ”Een artefact van een slecht ontwerp en slechte training van machine learning. Een overfitted model presteert goed op zijn trainingsvoorbeelden, maar slecht op nieuwe gegevens. Twee redenen voor overfitting zijn te weinig trainingsvoorbeelden of het trainingsproces gedurende te veel tijdvakken.

Hoe meer een machine learning-model is uitgerust, hoe gemakkelijker het voor een tegenstander zal zijn om aanvallen uit te voeren tegen het afleiden van leden. Daarom is een machinemodel dat goed generaliseert op ongeziene voorbeelden ook beter beveiligd tegen inferentie van lidmaatschap.

Dit verhaal is oorspronkelijk verschenen Bdtechtalks.com. Copyright 2021

Coinsmart. Beste Bitcoin-beurs in Europa
Bron: https://venturebeat.com/2021/04/28/membership-inference-attacks-detect-data-used-to-train-machine-learning-models/