Risiken der Modellerstellung in MLaaS
Überprüfung von Schwachstellen in Machine-Learning-Modellen, die über APIs abgerufen werden.
― 7 min Lesedauer
Inhaltsverzeichnis
Machine Learning as a Service (MLaaS) wird heute in vielen Branchen verwendet. Bei diesem Setup werden Maschinenlernmodelle remote auf privaten Daten trainiert und dann über Vorhersage-APIs der Öffentlichkeit zugänglich gemacht. Diese APIs ermöglichen es Nutzern, einschliesslich potenzieller Angreifer, Abfragen zu senden und Vorhersagen von diesen Modellen zu erhalten. Allerdings hat die Forschung gezeigt, dass Modelle, die über solche APIs angeboten werden, mit speziellen Angriffen, die als Modellaus Extract-Checks bekannt sind, repliziert oder „gestohlen“ werden können.
Bei einem Modellaus Extract-Angriff erstellt ein Angreifer ein Anfrage-Datensatz, sendet diese Anfragen an das Zielmodell, sammelt die entsprechenden Vorhersagen und baut ein Modell auf, das das Zielmodell nachahmt. Das Hauptziel ist, ein Modell zu erstellen, das sich ähnlich verhält wie das Zielmodell über eine Reihe von Eingaben. Das ist besorgniserregend, weil viele Maschinenlernmodelle proprietär sind, teuer in der Entwicklung und oft auf sensiblen personenbezogenen Daten trainiert werden.
Zu verstehen, wie anfällig diese Modelle sind, wenn sie über MLaaS zugänglich gemacht werden, wird entscheidend. Das führt zur Untersuchung von Angriffen, die Modellinformationen extrahieren, ohne Zugang zu den privaten Trainingsdaten zu benötigen.
Anfrage-effiziente Modellaus Extract
Black-Box-Modellaus Extract-Angriffe erfordern ein Gleichgewicht zwischen der Anzahl der an das Zielmodell gesendeten Anfragen und der Qualität des extrahierten Modells. Ein Angreifer kann genauere Informationen sammeln, wenn er mehr Anfragen sendet, aber zu viele Anfragen an ein Modell können teuer werden, sowohl finanziell als auch in Bezug auf die Entdeckung. Daher ist der Fokus auf anfrage-effiziente Angriffe entscheidend. Algorithmen zu entwickeln, die Anfragen effektiv auswählen und dabei die Kosten minimieren, kann einen solchen Angriff praktikabler und unauffälliger machen.
Beiträge
Die Forschung hebt drei Hauptbeiträge im Bereich der Modellaus Extract-Angriffe hervor:
Definitionen: Das Papier führt zwei Hauptideen ein: Verteilungsäquivalenz und Max-Informations-Extraktion. Verteilungsäquivalenz bezieht sich auf die Beziehung zwischen den Wahrscheinlichkeitsverteilungen der Ziel- und der extrahierten Modelle. Max-Informations-Extraktion zielt darauf ab, die maximal mögliche Information aus dem Zielmodell zu sammeln.
Algorithmus: Die Studie schlägt einen Algorithmus vor, der die Auswahl der Anfragen anpasst, während versucht wird, den Informationsgewinn zu maximieren. Es baut auf früheren Forschungen auf, indem es Sampling-Strategien verwendet, um die informativsten Anfragen über das Zielmodell zu identifizieren.
Experimentelle Analyse: Die Forscher führen umfassende Experimente durch, um die Wirksamkeit ihrer vorgeschlagenen Methode zu validieren. Sie testen den Modellaus Extract-Ansatz in verschiedenen Aufgaben und Datentypen, um seine Fähigkeiten zu demonstrieren.
Hintergrund
Klassifikatoren
Im Machine Learning ist ein Klassifikator eine Funktion, die Eingabefunktionen verschiedenen Klassen zuordnet. Der Prozess umfasst das Trainieren eines Modells mithilfe eines Datensatzes, der ihm hilft, die Beziehung zwischen Eingaben und Ausgaben zu lernen. Das Ziel ist, die Differenz zwischen den vorhergesagten Ergebnissen und den tatsächlichen Labels zu minimieren.
Modellaus Extract-Angriffe
Modellaus Extract-Angriffe beinhalten das Erstellen einer Kopie eines Zielmodells, ohne direkten Zugang zu seinem internen Zustand zu haben. Ein Angreifer kommuniziert mit dem Zielmodell über eine API, indem er Anfragen sendet und Vorhersagen erhält. Es gibt hauptsächlich zwei Arten von Modellaus Extract-Angriffen: funktionale Äquivalenz (das Verhalten des Modells replizieren) und Treue (seine Vorhersagen eng über eine breite Palette von Daten abgleichen).
Mitgliedschaftsinferenz-Angriffe
Mitgliedschaftsinferenz-Angriffe konzentrieren sich darauf zu bestimmen, ob spezifische Datenpunkte Teil des Trainingsdatensatzes des Zielmodells waren. Diese Angriffe können Einblicke in die privaten Daten geben, die zum Trainieren des Modells verwendet wurden, und stellen ein erhebliches Datenschutzrisiko dar.
Methodologie
Verteilungsäquivalenz
Die Forscher schlagen eine Modellaus Extract-Strategie vor, die die Verteilungsäquivalenz zwischen den extrahierten und den Zielmodellen betont. Die Grundidee ist, dass, wenn beide Modelle für die gleichen Eingabedaten ähnliche Wahrscheinlichkeitsverteilungen erzeugen, sie als äquivalent betrachtet werden. Daher verschiebt sich der Fokus vom einfachen Abgleichen von Vorhersagen hin zur Sicherstellung, dass das Gesamte Verhalten der Vorhersagen übereinstimmt.
Max-Informations-Extraktion
Der Max-Informations-Extraktionsansatz basiert darauf, die Menge an Informationen, die vom Zielmodell gewonnen wird, während Anfragen gemacht werden, zu maximieren. Der Angreifer zielt darauf ab, Anfragen auszuwählen, die nicht nur nützliche Vorhersagen liefern, sondern auch das Wissen über das Verhalten des Modells maximieren.
Adaptive Anfrageauswahl
Der in der Studie entwickelte adaptive Anfrageauswahlalgorithmus ermöglicht es dem Angreifer, die Menge der Anfragen dynamisch zu verfeinern. Anstatt einen statischen Ansatz zu verfolgen, bewertet diese Methode kontinuierlich die Effektivität der gewählten Anfragen und erlaubt Anpassungen basierend auf den erhaltenen Antworten vom Zielmodell.
Experimentelle Einrichtung
Die Forschung umfasst eine Reihe von Experimenten mit verschiedenen Maschinenlernmodellen, die auf unterschiedlichen Datensätzen trainiert wurden. Die Experimente zielen darauf ab, die Genauigkeit der extrahierten Modelle zu bewerten, wie eng ihre Vorhersagen mit denen des Zielmodells übereinstimmen und ihre Effektivität bei der Durchführung von Mitgliedschaftsinferenz-Angriffen.
Die Experimente nutzen öffentlich verfügbare Datensätze, die sich von den privaten Datensätzen unterscheiden, die zum Trainieren der Zielmodelle verwendet wurden. Dieser Ansatz stellt den Prozess der Modellaus Extract heraus, indem er nicht übereinstimmende Daten einführt und trotzdem eine hohe Genauigkeit bei den extrahierten Repliken anstrebt.
Ergebnisse
Modellgenauigkeit
Die Ergebnisse zeigen, dass die mit der vorgeschlagenen Methode extrahierten Modelle Genauigkeitsniveaus erreichen, die mit denen der Zielmodelle vergleichbar sind. Diese Erkenntnisse betonen die Effektivität der vorgeschlagenen Extraktionsmethode, da weniger Anfragen verwendet werden, um Modelle zu erstellen, die eine ähnliche Leistung zeigen.
Verteilungsäquivalenz
Die Experimente heben hervor, dass die extrahierten Modelle eine enge Beziehung zu den Zielmodellen in Bezug auf Verteilungsäquivalenz aufrechterhalten. Die wichtigste Kennzahl, die zur Bewertung dieser Beziehung verwendet wird, ist die KL-Divergenz, die misst, wie ähnlich die Vorhersageverteilungen der extrahierten und der Zielmodelle sind. Niedrigere KL-Divergenzwerte zeigen eine bessere Übereinstimmung zwischen den beiden an.
Mitgliedschaftsinferenz
Im Kontext der Mitgliedschaftsinferenz zeigen die extrahierten Modelle eine höhere Genauigkeit bei der Identifizierung, ob spezifische Datenpunkte Teil des Trainingssatzes für das Zielmodell waren. Das zeigt, dass die extrahierten Modelle nicht nur die Vorhersagefähigkeiten der Zielmodelle replizieren, sondern auch private Informationen preisgeben können.
Diskussion
Die Ergebnisse weisen auf ein wachsendes Bedürfnis hin, die Risiken im Zusammenhang mit Modellaus Extract-Angriffen zu verstehen und zu mindern. Mit der zunehmenden Abhängigkeit von Maschinenlernmodellen in praktischen Anwendungen werden die Sicherheitsimplikationen dieser Angriffe dringlicher.
Implikationen für die Privatsphäre
Die Implikationen für die persönliche Privatsphäre sind erheblich, insbesondere wenn Modelle, die auf sensiblen Daten trainiert wurden, relativ einfach extrahiert werden können. Die Forschung sensibilisiert für die Verwundbarkeiten von MLaaS-Ökosystemen und das Potenzial für den Missbrauch extrahierter Modelle.
Zukünftige Richtungen
Zukünftige Forschungen könnten sich darauf konzentrieren, die Verteidigung gegen solche Angriffe zu stärken. Zu verstehen, welche Mechanismen effektive Modellaus Extracts ermöglichen, hilft bei der Entwicklung von Gegenmassnahmen, um sensible Daten zu schützen.
Algorithmen zu entwickeln, die Modellaus Extract-Versuche erkennen und abwehren können, wird entscheidend sein, um die Integrität von Maschinenlernsystme aufrechtzuerhalten. Mögliche Richtungen umfassen die Erkundung unterschiedlicher Architekturen, die Verbesserung von Anfrage-Antwort-Systemen und die Implementierung strengerer Zugangskontrollen.
Fazit
Modellaus Extract-Angriffe stellen eine ernsthafte Bedrohung für die Vertraulichkeit von Maschinenlernmodellen und den Daten dar, die zu deren Training verwendet werden. Durch die Untersuchung der Beziehung zwischen den Ziel- und den extrahierten Modellen hebt die präsentierte Forschung effektive Strategien hervor, um nützliche Informationen mit minimalen Anfragen zu extrahieren.
Die Einführung von Verteilungsäquivalenz und Max-Informations-Extraktion bietet wertvolle Einblicke in die Mechanismen der Modellaus Extract. Da sich das Feld des Maschinenlernens weiterhin entwickelt, wird die Notwendigkeit für robuste Verteidigungen gegen diese Arten von Angriffen von grösster Bedeutung sein.
Das Verständnis der potenziellen Risiken und Verwundbarkeiten in MLaaS-Systemen kann helfen, zukünftige Entwicklungen in datenschutzfreundlichen Technologien zu informieren und sicherere Umgebungen für Entwickler und Nutzer zu schaffen.
Titel: Marich: A Query-efficient Distributionally Equivalent Model Extraction Attack using Public Data
Zusammenfassung: We study design of black-box model extraction attacks that can send minimal number of queries from a publicly available dataset to a target ML model through a predictive API with an aim to create an informative and distributionally equivalent replica of the target. First, we define distributionally equivalent and Max-Information model extraction attacks, and reduce them into a variational optimisation problem. The attacker sequentially solves this optimisation problem to select the most informative queries that simultaneously maximise the entropy and reduce the mismatch between the target and the stolen models. This leads to an active sampling-based query selection algorithm, Marich, which is model-oblivious. Then, we evaluate Marich on different text and image data sets, and different models, including CNNs and BERT. Marich extracts models that achieve $\sim 60-95\%$ of true model's accuracy and uses $\sim 1,000 - 8,500$ queries from the publicly available datasets, which are different from the private training datasets. Models extracted by Marich yield prediction distributions, which are $\sim 2-4\times$ closer to the target's distribution in comparison to the existing active sampling-based attacks. The extracted models also lead to $84-96\%$ accuracy under membership inference attacks. Experimental results validate that Marich is query-efficient, and capable of performing task-accurate, high-fidelity, and informative model extraction.
Autoren: Pratik Karmakar, Debabrota Basu
Letzte Aktualisierung: 2023-10-18 00:00:00
Sprache: English
Quell-URL: https://arxiv.org/abs/2302.08466
Quell-PDF: https://arxiv.org/pdf/2302.08466
Lizenz: https://creativecommons.org/licenses/by-sa/4.0/
Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.
Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.
Referenz Links
- https://github.com/debabrota-basu/marich
- https://tex.stackexchange.com/a/419290
- https://aws.amazon.com/machine-learning/ai-services/
- https://cloud.google.com/prediction
- https://azure.microsoft.com/en-us/products/app-service/api/
- https://www.kaggle.com/competitions/learn-ai-bbc/data
- https://github.com/Trusted-AI/adversarial-robustness-toolbox
- https://pytorch.org/vision/main/models/generated/torchvision.models.resnet18.html
- https://huggingface.co/bert-base-cased
- https://drive.google.com/drive/folders/1mpM-zE3w_pIS0c3DDb_uiR9Jw_MYvVer?usp=sharing
- https://huggingface.co/docs/transformers/v4.24.0/en/model_doc/bert