大量工作表明,机器学习(ML)模型可以泄漏有关其培训数据的敏感或机密信息。最近,由于分布推断(或属性推断)攻击引起的泄漏正在引起人们的注意。在此攻击中,对手的目标是推断有关培训数据的分配信息。到目前为止,对分布推理的研究集中在证明成功的攻击上,而很少注意确定泄漏的潜在原因和提出缓解。为了弥合这一差距,作为我们的主要贡献,我们从理论和经验上分析了信息泄漏的来源,这使对手能够进行分布推理攻击。我们确定泄漏的三个来源:(1)记住有关$ \ mathbb {e} [y | x] $(给定特征值的预期标签)的特定信息,((2)模型的错误归纳偏置,以及(3)培训数据的有限性。接下来,根据我们的分析,我们提出了针对分配推理攻击的原则缓解技术。具体而言,我们证明了因果学习技术比相关学习方法更适合特定类型的分布推理所谓的分配构件推理。最后,我们提出了分布推断的形式化,该推论允许对比以前更多的一般对手进行推理。
translated by 谷歌翻译