第10章成員推理攻擊原理與實踐10.1成員推理攻擊原理簡介本章介紹

成員推理攻擊（MembershipInferenceAttack）是一種針對機器學習模型的隱私攻擊，目的在于判斷特定的數(shù)據(jù)樣本是否被用于模型的訓練過程中。本章主要講述成員推理攻擊的原理與應用。在實踐部分，主要講述基于影子模型的成員推理攻擊。1.成員推理攻擊概述成員推理攻擊揭示了機器學習模型可能泄露關于其訓練數(shù)據(jù)的敏感信息，尤其是在模型對訓練數(shù)據(jù)過度擬合的情況下。通過成員推理攻擊，攻擊者可以推斷出某個特定的輸入是否是模型訓練數(shù)據(jù)的一部分。這在涉及敏感數(shù)據(jù)的場合尤其危險，比如醫(yī)療或金融數(shù)據(jù)，因為它可能導致隱私泄露。如圖所示為成員推理攻擊示意圖。2.成員推理攻擊分類成員推理攻擊在實施攻擊時，通常有兩種場景：白盒和黑盒。成員推理攻擊可以根據(jù)攻擊的方法論分為直接攻擊和間接攻擊。成員推理攻擊還可以根據(jù)攻擊的應用場景分為在線攻擊和離線攻擊。3.常見的成員推理攻擊方法常見的成員推理攻擊方法包括影子模型攻擊（ShadowModelAttack）、基于模型置信度的攻擊和基于差分隱私的攻擊模型。（1）

影子模型攻擊（2）基于模型置信度的攻擊（3）

基于差分隱私的攻擊模型4.影子模型攻擊影子模型攻擊是一種針對機器學習模型的成員推斷攻擊（MembershipInferenceAttack）。其核心思想是利用一個或多個與目標模型訓練方式相似的影子模型來推斷某個數(shù)據(jù)樣本是否被用于目標模型的訓練集中。5.影子模型攻擊的步驟影子模型攻擊的步驟如下：1.數(shù)據(jù)收集2.影子模型訓練3.輸出分析與標簽生成4.攻擊模型訓練5.攻擊執(zhí)行小結本小節(jié)簡單介紹成員推理攻擊原理。祝同學們學習進步！致謝李劍博士，教授，博士生導師網絡空間安全學院lijian@January23,2025第10章成員推理攻擊原理與實踐實踐10-1基于影子模型的成員推理攻擊本章介紹本小節(jié)詳細介紹如何通過Python編程實現(xiàn)基于影子模型的成員推理攻擊實踐。學習如何從潛在攻擊者的視角來分析和評估機器學習模型的安全性1.實踐目的基于影子模型的成員推理攻擊實踐的目的如下：（1）理解機器學習隱私問題（2）熟悉基于影子模型的成員推理攻擊及實現(xiàn)（3）體驗對抗性思維2.實踐內容實現(xiàn)MLLeaks[1]論文的第一種知識水平和攻擊實施條件下的成員推斷攻擊。假設攻擊方知道目標模型的訓練數(shù)據(jù)分布以及用于訓練模型的架構和超參數(shù)。實踐中使用CIFAR10和MNIST數(shù)據(jù)集。3.實驗環(huán)境 Python版本：3.10.12或更高版本 深度學習框架：torch2.2.，torchvision0.17.1

其他庫版本：numpy1.24.3，scikit-learn1.3.0

運行平臺：PyCharm4.實驗步驟實驗的主要步驟流程如圖所示。1.數(shù)據(jù)準備和預處理2.模型定義和訓練3.攻擊模型準備4.攻擊模型訓練和評估5.命令行參數(shù)和實驗控制5.實踐過程第1步：建立模型文件model.py。5.實踐過程第2步：建立訓練文件train.py。5.實踐過程第3步：建立攻擊文件attack.py。5.實踐過程第4步：建立cli.py文件6.實踐結果1.使用預訓練模型對數(shù)據(jù)集進行攻擊在終端運行pythoncli.pymembership-inferencepretrained-dummy命令，使用預訓練模型對默認數(shù)據(jù)集CIFAR10進行攻擊，觀察控制臺輸出。6.實踐結果攻擊模型的測試準確率為71.85％。表明其在區(qū)分成員和非成員樣本方面有一定的能力。詳細結果顯示，攻擊模型對“非成員”類別的準確率為99％，但對“成員”類別的準確率只有64