נושא הפרוייקט
מספר פרוייקט
מחלקה
שמות סטודנטים
אימייל
שמות מנחים
MF-MIA: התקפת Membership Inference (הסקת חברות) על מידע בעל פיצ'רים חסרים
MF-MIA: Membership Inference Attack (MIA) on Data with Missing Features
תקציר בעיברית
בעזרת התקפת Membership Inference (הסקת חברות), תוקף עשוי להסיק אם רשומה מסוימת הייתה חלק מסט האימון של מודל למידת מכונה, ובכך להוות איום לפרטיות ודליפת נתונים לבעל הנתונים והמודל. עם זאת, התקפות MIA קודמות פותחו והוערכו תחת הנחה חזקה שתוקף מכיר את כל הפיצ'רים של הרשומה הנבדקת. במחקר זה שאפנו לפתח MIA תחת הנחה מציאותית יותר כאשר פיצ'רים מסוימים אינם ידועים לתוקף. באמצעות הגישה המוצעת שלנו, אנו יכולים: (1) להוכיח כי נעשה שימוש במידע פרטי באופן בלתי חוקי גם כאשר פי'צרים נוספו למידע המקורי, וגם (2) להעריך את הפגיעות של מודלים פרטיים למתקפת MIA כאשר לתוקף יש ידע חלקי בלבד על הפי'צרים. בכדי לגשר על פער זה, אנו מציעים את שיטתנו החדשה אשר מורכבת משני שלבים. השלב הראשון כולל בתוכו חיזוי הפיצ'רים החסרים בעזרת מערך נתונים חיצוני (סט נתונים אשר נלקח מאותה התפלגות של סט האימון המקורי ובעל פיצ'רים חסרים) על ידי שימוש במספר מודלים כגון Autoencoders וGANs. בשלב השני, אנו תוקפים את מודל המטרה בעזרת מתקפת MIA עם מערך הנתונים החיצוני שהושלם. בעזרת גישת Black-Box למודל המטרה, אנו מנתחים את ההבדלים בתוצאות החיזוי של מודל המטרה על רשומות שהוא התאמן עליהן (Members) לעומת רשומות שהוא לא התאמן עליהן (Non - Members). זה מאפשר לנו לקבוע חברות של רשומה מסוימת, אפילו בתרחישים שבהם חלק מהפיצ'רים לא היו ידועים בהתחלה לתוקף, מה שתורם לעמידות טכניקות הסקת החברות.
תקציר באנגלית
Using Membership Inference Attacks (MIA), an adversary may identify whether a specific instance was included in a machine learning (ML) model's training set, thus, posing privacy and data leakage threats to the data and model owner. However, previous MIA attacks were developed and evaluated under the strong assumption that the adversary knows all the features of the tested instance. In this research we aimed at developing an MIA under a more realistic assumption that some features are unknown to the adversary. Using our proposed approach, we can: (1) prove that a private dataset has been illegally used, even when features were added to the original dataset, and (2) assess the vulnerability of private models to MIA when the attacker has only partial knowledge of the features. To bridge this gap, we propose a novel method that consists of two phases. The first phase involves estimating the missing features using an external dataset (a dataset obtained from the original training dataset's distribution and has missing features) using models such as autoencoders and GANs. In the second phase, we attack the target model with MIA using the external dataset that has been completed. With a target model's black-box access, we analyze the differences in the target model’s predictions on the inputs that it trained on (members) versus the inputs that it did not train on (non-members). This allows us to determine membership, even in scenarios where some features were initially unknown, contributing to the advancement of robust membership inference techniques.