La fonctionnalité de recherche est en construction.
La fonctionnalité de recherche est en construction.

The original paper is in English. Non-English content has been machine-translated and may contain typographical errors or mistranslations. ex. Some numerals are expressed as "XNUMX".
Copyrights notice

The original paper is in English. Non-English content has been machine-translated and may contain typographical errors or mistranslations. Copyrights notice

Model Inversion Attacks for Online Prediction Systems: Without Knowledge of Non-Sensitive Attributes Attaques d'inversion de modèle pour les systèmes de prédiction en ligne : sans connaissance des attributs non sensibles

Seira HIDANO, Takao MURAKAMI, Shuichi KATSUMATA, Shinsaku KIYOMOTO, Goichiro HANAOKA

  • Vues en texte intégral

    0

  • Citer

Résumé:

Le nombre de services informatiques qui utilisent des algorithmes d’apprentissage automatique (ML) augmente continuellement et rapidement, tandis que nombre d’entre eux sont utilisés en pratique pour effectuer certains types de prédictions à partir de données personnelles. Il n’est pas surprenant qu’en raison de cet essor soudain du ML, la manière dont les données personnelles sont traitées dans les systèmes de ML commence à soulever de graves problèmes de confidentialité qui n’étaient pas pris en compte auparavant. Récemment, Fredrikson et al. [USENIX 2014] [CCS 2015] a proposé une nouvelle attaque contre les systèmes ML appelée attaque par inversion de modèle qui vise à déduire sensible valeurs d'attribut d'un utilisateur cible. Dans leur travail, pour que l'attaque par inversion de modèle réussisse, l'adversaire doit obtenir deux types d'informations concernant l'utilisateur cible avant l'attaque : la valeur de sortie (c'est-à-dire la prédiction) du système ML et l'ensemble des non sensible valeurs utilisées pour apprendre la sortie. Par conséquent, bien que l’attaque soulève de nouvelles préoccupations en matière de confidentialité, puisque l’adversaire est tenu de connaître à l’avance toutes les valeurs non sensibles, le niveau de risque encouru par l’attaque n’est pas tout à fait clair. En particulier, même si les utilisateurs peuvent considérer ces valeurs comme non sensibles, il peut être difficile pour l'adversaire d'obtenir toutes les valeurs d'attribut non sensibles avant l'attaque, rendant ainsi l'attaque invalide. L'objectif de cet article est de quantifier le risque d'attaques par inversion de modèle dans le cas où les attributs non sensibles d'un utilisateur cible ne sont pas disponibles pour l'adversaire. À cette fin, nous proposons d’abord un cadre d’inversion de modèle général (GMI), qui modélise la quantité d’informations auxiliaires disponibles pour l’adversaire. Notre cadre capture l'attaque d'inversion de modèle de Fredrikson et al. comme cas particulier, tout en capturant également les attaques d'inversion de modèle qui déduisent des attributs sensibles sans connaître les attributs non sensibles. Pour cette dernière attaque, nous fournissons une méthodologie générale sur la façon dont nous pouvons déduire les attributs sensibles d'un utilisateur cible sans connaître les attributs non sensibles. À un niveau élevé, nous utilisons le paradigme d'empoisonnement des données d'une manière conceptuellement nouvelle et injectons des données malveillantes dans le système ML afin de modifier le modèle ML interne utilisé dans un système de ML. l'objectif Modèle ML ; un type spécial de modèle ML qui permet d'effectuer des attaques d'inversion de modèle sans la connaissance des attributs non sensibles. Enfin, suivant notre méthodologie générale, nous introduisons des systèmes ML qui utilisent en interne des modèles de régression linéaire dans notre cadre GMI et proposons un algorithme concret pour les attaques par inversion de modèle qui ne nécessite pas de connaissance des attributs non sensibles. Nous montrons l'efficacité de notre attaque d'inversion de modèle grâce à une évaluation expérimentale utilisant deux ensembles de données réels.

Publication
IEICE TRANSACTIONS on Information Vol.E101-D No.11 pp.2665-2676
Date de publication
2018/11/01
Publicisé
2018/08/22
ISSN en ligne
1745-1361
DOI
10.1587/transinf.2017ICP0013
Type de manuscrit
Special Section PAPER (Special Section on Information and Communication System Security)
Catégories
Forensique et analyse des risques

Auteurs

Seira HIDANO
  KDDI Research, Inc.
Takao MURAKAMI
  National Institute of Advanced Industrial Science and Technology (AIST)
Shuichi KATSUMATA
  National Institute of Advanced Industrial Science and Technology (AIST),University of Tokyo
Shinsaku KIYOMOTO
  KDDI Research, Inc.
Goichiro HANAOKA
  National Institute of Advanced Industrial Science and Technology (AIST)

Mots-clés

Table des matières