核心概念
本文提出了一種名為 CLMIA 的新型成員推斷攻擊方法,該方法利用非監督式對比學習來訓練攻擊模型,從而更有效地判斷數據樣本是否被用於訓練機器學習模型,特別是在標記身份信息數據有限的現實情況下。
摘要
論文資訊
- 標題:CLMIA:透過非監督式對比學習進行成員推斷攻擊
- 作者:Depeng Chen、Xiao Liu、Jie Cui、Hong Zhong
- 機構:安徽大學
研究目標
本研究旨在提出一種新的成員推斷攻擊方法 CLMIA,該方法利用非監督式對比學習來訓練攻擊模型,以解決現有攻擊方法在標記身份信息數據有限的情況下性能不佳的問題。
方法
CLMIA 攻擊方法主要分為五個階段:目標模型訓練、影子模型訓練、攻擊模型訓練、攻擊模型微調和成員推斷。
- 首先,攻擊者利用目標數據集訓練目標模型。
- 然後,通過在目標模型的最後一層添加 dropout 層,並使用不同的 dropout 率訓練兩個影子模型,以生成用於訓練攻擊模型的正樣本。
- 攻擊者使用對比學習策略訓練攻擊模型,以區分成員和非成員數據。
- 為了獲得更明確的成員信息,攻擊者使用少量標記數據集對攻擊模型進行微調。
- 最後,攻擊者僅根據目標模型的輸出後驗概率,即可推斷目標數據集中每個樣本的身份信息。
主要發現
- 實驗結果表明,CLMIA 在不同數據集和模型結構上均優於現有的攻擊方法,尤其是在標記身份信息數據較少的情況下。
- 研究還發現,對於成員和非成員數據的不同標記身份信息比例,攻擊性能有所不同,成員數據比例越高,攻擊性能越好。
- 此外,研究還探討了 dropout 率和溫度參數等因素對攻擊性能的影響。
結論
CLMIA 是一種有效的成員推斷攻擊方法,它利用非監督式對比學習來訓練攻擊模型,並在標記身份信息數據有限的情況下表現出色。
研究意義
本研究提出了一種新的成員推斷攻擊方法,揭示了機器學習模型在成員推斷攻擊面前的脆弱性,並為開發更強大的防禦機制提供了參考。
统计
在 CIFAR-100 數據集和 Resnet-18 模型結構中,當影子模型的 dropout 率分別為 0.1 時,CLMIA 的攻擊平衡準確率最佳。
在 Resnet-18 模型結構中,CLMIA 損失函數的最佳溫度參數 τ 值為 0.05。
引用
“據我們所知,我們是第一個使用非監督式對比學習方法作為成員推斷攻擊手段的,稱為 CLMIA。”
“我們證明了 CLMIA 可以應用於更現實的場景,並實現更好的攻擊性能,尤其是在標記身份信息數據不足的情況下。”
“我們將 CLMIA 應用於各種數據集和模型結構,並進行消融實驗,以顯示我們攻擊模型的有效性能。”