Skip to main content
QUICK REVIEW

[论文解读] Disparate Vulnerability: on the Unfairness of Privacy Attacks Against Machine Learning.

Mohammad Yaghini, Bogdan Kulynych|arXiv (Cornell University)|Jun 2, 2019
Privacy-Preserving Technologies in Data参考文献 27被引用 24
一句话总结

本文揭示了针对机器学习模型的成员推断攻击(MIAs)在不同人口统计子群体(如种族或性别)之间存在差异化的脆弱性,尽管平均而言攻击似乎无效。本文建立了此类差异化的理论条件,并评估了公平性约束和差分隐私是否能够缓解这些差异,提出了一种通过子群体视角审计模型隐私风险的新框架。

ABSTRACT

A membership inference attack (MIA) against a machine learning model enables an attacker to determine whether a given data record was part of the model's training data or not. The effectiveness of these attacks is reported using metrics computed across the whole population (e.g., average attack accuracy). In this paper, we show that the attack success varies across different subgroups of the data (e.g., race, gender), i.e., there is \emph{disparate vulnerability}. Even if MIA's success looks no better than random guessing over the whole population, subgroups can still be vulnerable. We study the necessary and sufficient conditions for a classifier to exhibit disparate vulnerability, and we determine to what extent certain learning techniques (e.g., fairness constraints, differential privacy) can prevent it. Our work provides a theoretical framework for studying MIA attacks from a new perspective.

研究动机与目标

  • 调查成员推断攻击(MIAs)在不同数据子群体(如种族或性别)中是否表现出不均衡的成功率。
  • 识别分类器对MIAs表现出差异化脆弱性的必要和充分条件。
  • 评估公平性约束和差分隐私是否能有效降低或消除MIAs中的差异化脆弱性。

提出的方法

  • 作者分析模型在不同子群体中成员推断脆弱性变化的理论条件,重点关注模型行为和数据分布。
  • 基于子群体间模型置信度和数据表示的差异,推导出决定差异化脆弱性出现的数学条件。
  • 通过测量其对子群体特定攻击成功率的影响,评估现有防御措施(如公平性约束和差分隐私)的效果。
  • 利用真实世界数据集进行实证分析,展示即使整体准确率看似无害,攻击准确率在不同人口统计子群体中仍存在显著差异。
  • 提出一种框架,用于从子群体层面审计模型的隐私风险,超越整体性能指标。

实验结果

研究问题

  • RQ1在何种条件下,机器学习模型在不同人口统计子群体中对成员推断攻击表现出差异化的脆弱性?
  • RQ2在模型训练中应用公平性约束在多大程度上降低了子群体特定的MIA成功率?
  • RQ3差分隐私能否有效缓解成员推断攻击中的差异化脆弱性?
  • RQ4在真实世界模型中,子群体层面的攻击准确率与整体平均攻击准确率相比如何?

主要发现

  • 即使成员推断攻击在整体上看似无效,某些子群体(如特定种族或性别群体)仍可能表现出显著更高的脆弱性。
  • 当模型置信度分数在不同子群体间系统性不同时,差异化的脆弱性便会出现,导致对代表性不足或边缘化群体的攻击成功率更高。
  • 训练期间应用的公平性约束并不一定降低差异化的脆弱性,甚至可能使其加剧。
  • 差分隐私提供了对差异化脆弱性的强防御,显著降低了所有子群体的攻击成功率。
  • 本研究表明,整体性能指标可能掩盖特定子群体的严重隐私风险,凸显了子群体层面审计的必要性。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。