影子学习(Shadow Learning)
目录
第一章:基础理论与核心机制
1.1 影子学习的起源与定义
1.1.1 隐私攻击背景:从数据泄露到模型泄露
1.1.2 Shokri等人的开创性工作(2017)
1.1.3 核心概念界定:影子模型、影子数据集与攻击模型
1.2 影子学习的基本原理
1.2.1 过拟合与成员信号:模型为何"记住"训练数据
1.2.2 黑盒攻击设定:仅通过API查询获取信息
1.2.3 成员推断的形式化定义:从概率输出到二分类问题
1.3 经典影子训练流程(三级架构)
1.3.1 阶段一:影子模型训练——模拟目标行为
1.3.2 阶段二:攻击模型训练——学习成员与非成员模式
1.3.3 阶段三:成员推断执行——对目标模型实施攻击
完整实现代码
代码架构说明
第二章:技术演进与攻击变体
2.1 影子数据生成策略
2.1.1 基于模型合成的数据生成:迭代爬山算法与置信度优化
2.1.2 基于统计分布的合成:边际分布采样与特征独立假设
2.1.3 噪声真实数据:通过数据扰动扩展影子数据集
2.2 攻击模型的简化与优化
2.2.1 从多影子模型到单影子模型:Salem等人的ML-Leaks攻击
2.2.2 基于阈值的推断:Yeom等人的损失值比较法
2.2.3 知识蒸馏增强:DSMIM-MIA中的蒸馏影子模型
2.3 限制条件下的影子攻击
2.3.1 标签-only攻击:仅利用预测标签而非置信度
2.3.2 联邦学习中的影子攻击:分布式场景下的隐私泄露
2.3.3 对抗鲁棒模型的攻击:针对防御性训练模型的成员推断
2.4 联合成员推断攻击(最新前沿)
2.4.1 级联成员推断攻击(CMIA):利用样本间依赖关系
2.4.2 代理成员推断攻击(PMIA):非自适应场景下的理论最优策略
2.4.3 贝叶斯最优攻击:Sablayrolles等人的似然比检验框架
第三章 防御机制与未来方向
3.1 基于影子学习的主动防御
3.1.1 深度影子防御:在联邦学习中生成合成数据与模型
3.1.2 对抗性欺骗:构建影子MIA模型误导攻击者
3.1.3 防御效果评估:在不降低分类准确率的前提下减少信息泄露
3.2 传统防御策略及其局限
3.2.1 差分隐私:理论保证与实际效用权衡
3.2.2 正则化技术:减少过拟合以降低成员信号
3.2.3 输出扰动:置信度截断与概率向量噪声添加
3.3 评估指标与实验方法论
3.3.1 攻击成功率(Attack Accuracy)与AUC-ROC
3.3.2 真实正例率(TPR)与低假正例率(FPR)的权衡
3.3.3 基准数据集与模型架构:CIFAR-10/100、ImageNet、医疗数据集
3.4 开放问题与研究前沿
3.4.1 计算效率与攻击强度的平衡:减少影子模型训练成本
3.4.2 大语言模型(LLM)中的影子学习:生成式AI的隐私挑战
3.4.3 理论分析:影子攻击的贝叶斯最优性与样本复杂度边界