- Обманите своих врагов: проксимальное градиентное разделение обучения для защиты от атак с инверсией модели на данные IoMT (arXiv)
Автор: Сандер Али Ховаджа, Ик Хён Ли, Капал Дев, Мухаммад Аслам Джарвар, Наваб Мухаммад Фасих Куреши.
Аннотация: В последнее десятилетие произошло быстрое внедрение искусственного интеллекта (ИИ), особенно сетей глубокого обучения, в экосистему Интернета медицинских вещей (IoMT). Однако недавно было показано, что сети глубокого обучения могут быть использованы злоумышленниками, которые не только делают IoMT уязвимым для кражи данных, но и для манипулирования медицинскими диагнозами. В существующих исследованиях рассматривается добавление шума к необработанным данным IoMT или параметрам модели, что не только снижает общую производительность в отношении медицинских выводов, но и неэффективно по сравнению с методом глубокой утечки из градиентов. В этой работе мы предлагаем метод проксимального градиентного разделения обучения (PSGL) для защиты от атак с инверсией модели. Предлагаемый метод преднамеренно атакует данные IoMT во время процесса обучения глубокой нейронной сети на стороне клиента. Мы предлагаем использовать метод проксимального градиента для восстановления карт градиента и стратегию слияния на уровне принятия решения для повышения эффективности распознавания. Обширный анализ показывает, что PGSL не только обеспечивает эффективный механизм защиты от атак с инверсией модели, но также помогает повысить производительность распознавания в общедоступных наборах данных. Мы сообщаем о повышении точности на 14,0 %, 17,9 % и 36,9 % по сравнению с реконструированными и атакованными злоумышленниками изображениями соответственно.
2. Уязвимость конфиденциальности раздельных вычислений для атак с инверсией модели без данных (arXiv)
Автор: Синь Донг, Хунсю Инь, Хосе М. Альварес, Ян Каутц, Павло Молчанов, Х. Т. Кунг
Аннотация. Мобильные пограничные устройства предъявляют повышенные требования к выводам глубоких нейронных сетей (DNN), но страдают от жестких ограничений вычислительных ресурсов. Раздельные вычисления (SC) становятся популярным подходом к решению этой проблемы, поскольку на устройствах выполняются только начальные уровни, а остальные передаются в облако. Предыдущие работы обычно предполагают, что SC предлагает преимущества конфиденциальности, поскольку только промежуточные функции, а не личные данные, передаются с устройств в облако. В этой работе мы разоблачаем эту защиту конфиденциальности, вызванную SC, (i) представляя новый метод инверсии модели без данных и (ii) демонстрируя пример инверсии, когда личные данные с устройств все еще могут быть удалены с высокой точностью из общей функции даже после десятки слоев нейронной сети. Мы предлагаем инверсию «разделяй и властвуй» (DCI), которая разделяет заданную глубокую сеть на несколько мелких блоков и инвертирует каждый блок с помощью метода инверсии. Кроме того, вводится метод согласованности циклов путем перенаправления инвертированных результатов обратно в атакуемую модель, чтобы лучше контролировать обучение модулей инверсии. В отличие от известного уровня техники, основанного на генеративных априорных значениях и оптимизации с интенсивными вычислениями при получении инвертированных выборок, DCI устраняет необходимость в данных реального устройства и генеративных априорных значениях и завершает инверсию с помощью одного быстрого прохода вперед по модулям инверсии. Впервые мы масштабируем инверсию без данных и выборки для глубоких архитектур и больших наборов данных как для дискриминационных, так и для генеративных сетей. Мы проводим атаку с инверсией модели на модели ResNet и RepVGG в ImageNet и SNGAN в CelebA и восстанавливаем исходный ввод из промежуточных функций более чем на 40 уровнях вглубь сети.
