在没有解密的情况下对加密数据进行神经网络推断是一种流行的方法,可以使隐私神经网络(PNET)作为服务。与用于机器学习的常规神经网络相比,PNET需要额外的编码,例如量化精确数字和多项式激活。加密输入还引入了新颖的挑战,例如对抗性鲁棒性和安全性。据我们所知,我们是第一个研究问题,包括(i)PNET是否比常规神经网络对对抗性输入更强大? (ii)如何在没有解密的情况下设计强大的PNET?我们建议使用PNET攻击来生成黑框对抗示例,这些示例可以成功攻击目标和非目标方式。攻击结果表明,需要改进针对对抗输入的PNET鲁棒性。这不是一项琐碎的任务,因为PNET模型所有者无法访问输入值的明文,这阻止了现有检测和防御方法的应用,例如输入调整,模型归一化和对抗性培训。为了应对这一挑战,我们提出了一种新的快速准确的噪声插入方法,称为RPNET,以设计强大的私人神经网络。我们的综合实验表明,PNET-ITSTACK比先前的工作减少了至少$ 2.5 \ times $的查询。我们从理论上分析了我们的RPNET方法,并证明RPNET可以降低$ \ sim 91.88 \%$ $攻击成功率。
translated by 谷歌翻译