本文对基于预测置信度的成员推理攻击提出质疑。文章认为以前的成员推理攻击性能的报告方式是误导性的,因为它们在高准确率同时存在高误报率(FAR)。FAR显示攻击模型将非训练样本(非成员)误标记为训练样本(成员)的频率。文章还认为现有的基于预测置信度的成员推理攻击模型最多只能识别出误分类样本的成员身份,准确率一般,而误分类样本只占训练样本的很小一部分。文章通过对现实模型进行成员推理攻击证明了在最大化攻击者优势的情况下,一个有意义的高准确度和低FAR的成员推断攻击通常是不可能实现的。"Rezaei, Shahbaz, and Xin Liu. "On the difficulty of membership inference attacks." Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition. 2021."
本文的优点在于从原有的性能评估标准中发现问题,并通过实验论证问题出现的原因,是否能够被优化等。文章没有拘泥于成员推理攻击本身,而是从二元模型的角度对攻击模型进行评估,从而发现高误报率的问题所在。这种从现实的角度对论文进行评估的方式是值得学习的。
本文的缺点在于实验方案设计存在问题。文章只将目标模型训练集数据的预测置信度和测试集数据的预测置信度简单的求出一个平均置信度认为其分布相同,所以成员推理攻击就不能成功。但是可以从数据看出,虽然平均值相似,但是明显训练集数据波动范围更大一些,这些超过波动范围的数据依旧可以设置为攻击的目标。
对我来说这篇论文的很多研究方法不错,例如调整训练集测试集数据的比例、用误报率对成员推理攻击攻击效果论证、通过分析理论研究和现实情况的差距找到论文的问题、现有基于置信度的成员推理攻击存在的问题等等。
2023年2月23日
标签:置信度,21,邹昱夫,攻击,成员,训练样本,Inference,推理,模型 From: https://www.cnblogs.com/FBprivacy/p/17149481.html