Membership Inference Attack with Partial Features
2508.06244v1
cs.LG, cs.AI, cs.CR
2025-08-12
Авторы:
Xurun Wang, Guangrui Liu, Xinjie Li, Haoyu He, Lin Yao, Weizhe Zhang
Резюме на русском
#### Контекст
Машинное обучение (ML) широко используется в различных областях, но эти модели чувствительны к атакам на членство (Membership Inference Attack, MIA). Эта атака призвана определить, был ли конкретный пример включен в обучающую выборку модели. Основные подходы к MIA предполагают, что атакующий агент имеет доступ ко всем функциям (признакам) целевого примера. Однако в реальной жизни часто есть ситуации, когда доступны только частичные данные. Это ограничивает эффективность существующих методов. В данной работе мы исследуем сценарий, когда атакующий имеет доступ только к части признаков целевого примера, и определяем это проблему как Partial Feature Membership Inference (PFMI).
#### Метод
Мы предлагаем фреймворк MRAD (Memory-guided Reconstruction and Anomaly Detection), который работает в двух этапах. В первом этапе MRAD оптимизирует неизвестные признаки, минимизируя потери модели. Во втором этапе он оценивает отклонение реконструированного примера от распределения обучающих данных с помощью аномализационных методов. Этот подход позволяет атакующему использовать частичные данные для определения, был ли пример использован в обучении модели. Мы используем широкий спектр техник аномализации, таких как Autoencoder, PCA, и t-SNE, для оценки отклонений.
#### Результаты
Мы провели эксперименты на STL-10 и других датасетах, в том числе с отсутствующими частью признаков. На STL-10 MRAD показал высокую эффективность, достигнув AUC 0.6 даже при отсутствии 40% признаков. Мы также проверили совместимость MRAD с разными методами аномализации, такими как t-SNE и Autoencoder, и показали, что MRAD работает эффективно в разных условиях.
#### Значимость
Результаты MRAD открывают новые возможности для атак на членство, даже в ситуациях, когда атакующий имеет неполные данные. Это делает PFMI значимой для практических приложений, где атакующий может иметь доступ только к части признаков, таких как мониторинг безопасности и защита приватности. Наши результаты также показывают, что MRAD может быть применен с разными техниками аномализации, что делает его гибким и универсальным.
#### Выводы
Мы успешно разработали MRAD, новый подход к Partial Feature Membership Inference. Наши эксперименты показали, что MRAD эффективен на разных датасетах, даже при отсутствии части признаков. Дальнейшие исследования будут направлены на улучшение MRAD, а также на исследование потенциальных защитных методов против этой атаки.
Abstract
Machine learning models have been shown to be susceptible to membership
inference attack, which can be used to determine whether a given sample appears
in the training data. Existing membership inference methods commonly assume
that the adversary has full access to the features of the target sample. This
assumption, however, does not hold in many real-world scenarios where only
partial features information is available, thereby limiting the applicability
of these methods. In this work, we study an inference scenario where the
adversary observes only partial features of each sample and aims to infer
whether this observed subset was present in the training set of the target
model. We define this problem as Partial Feature Membership Inference (PFMI).
To address this problem, we propose MRAD (Memory-guided Reconstruction and
Anomaly Detection), a two-stage attack framework. In the first stage, MRAD
optimizes the unknown feature values to minimize the loss of the sample. In the
second stage, it measures the deviation between the reconstructed sample and
the training distribution using anomaly detection. Empirical results
demonstrate that MRAD is effective across a range of datasets, and maintains
compatibility with various off-the-shelf anomaly detection techniques. For
example, on STL-10, our attack achieves an AUC of around 0.6 even with 40% of
the missing features.
Ссылки и действия
Дополнительные ресурсы: