Oct, 2023

变色龙:通过自适应攻击增加仅标签成员的泄露

TL;DR利用机器学习在多个关键应用中的整合引入了个人提供数据进行模型训练时的隐私问题,其中一个隐私风险是成员推断(Membership Inference)攻击,攻击者试图确定特定数据样本是否包含在模型的训练数据集中。本文关注较少探索且更为现实的仅标签(label-only)设置,其中模型仅提供对查询样本的预测标签,我们发现现有的仅标签成员推断攻击在低误报率(False Positive Rate,FPR)情况下无法有效推断成员身份。我们针对这一挑战提出一种新攻击方法Chameleon,利用一种新颖的自适应数据投毒策略和高效的查询选择方法,在低FPR情况下显著提高了成员推断的准确性,较现有的仅标签攻击更为有效。