[논문]AI 환경에서 모델 전도 공격에 안전한 차분 프라이버시 기술

박철희; 홍도원

doi:10.13089/jkiisc.2019.29.3.589

초록
AI-Helper

온라인상에 축적되는 디지털 데이터의 양은 폭발적으로 증가하고 있으며 이러한 데이터들은 매우 큰 잠재적 가치를 갖고 있다. 국가 및 기업들은 방대한 양의 데이터로부터 다양한 부가가치를 창출하고 있으며 데이터 분석 기술에 많은 투자를 하고 있다. 그러나 데이터 분석에서 발생하는 프라이버시 문제는 데이터의 활용을 저해하는 큰 요인으로 작용하고 있다. 최근 신경망 모델 기반의 분석 기술에 대한 프라이버시 침해 공격들이 제안됨에 따라 프라이버시를 보존하는 인공 신경망 기술에 대한 연구가 요구되고 있다. 이에 따라 엄격한 프라이버시를 보장하는 차분 프라이버시 분야에서 다양한 프라이버시 보존형 인공 신경망 기술에 대한 연구가 수행되고 있지만, 신경망 모델의 정확도와 프라이버시 보존 강도 사이의 균형이 적절하지 않은 문제점이 있다. 본 논문에서는 프라이버시와 모델의 성능을 모두 보존하고 모델 전도 공격에 저항성을 갖는 차분 프라이버시 기술을 제안한다. 또한, 프라이버시 보존 강도에 따른 모델전도 공격의 저항성을 분석한다.

Abstract ▼ AI-Helper

The amount of digital data a is explosively growing, and these data have large potential values. Countries and companies are creating various added values from vast amounts of data, and are making a lot of investments in data analysis techniques. The privacy problem that occurs in data analysis is a...

The amount of digital data a is explosively growing, and these data have large potential values. Countries and companies are creating various added values from vast amounts of data, and are making a lot of investments in data analysis techniques. The privacy problem that occurs in data analysis is a major factor that hinders data utilization. Recently, as privacy violation attacks on neural network models have been proposed. researches on artificial neural network technology that preserves privacy is required. Therefore, various privacy preserving artificial neural network technologies have been studied in the field of differential privacy that ensures strict privacy. However, there are problems that the balance between the accuracy of the neural network model and the privacy budget is not appropriate. In this paper, we study differential privacy techniques that preserve the performance of a model within a given privacy budget and is resistant to model inversion attacks. Also, we analyze the resistance of model inversion attack according to privacy preservation strength.

주제어

표/그림 (7)

그림 Fig. 1. Differentially private stochastic gradient descent algorithm.
그림 Fig. 2. Differentially private momentum update algorithm.
그림 Fig. 3. Learning processes of a single layer neural network model for AT&T face data within the same privacy budget(Ε = 10, σ = 10^-3 ).(Left) Optimization with Algorithm 1, (Right) Optimization with Algorithm 2
그림 Fig. 4. Algorithm of model inversion attack.
그림 Fig. 5. (Left) A face image for the specific individual used in learning face recognition model(test data). (Right) A Face image recovered from model inversion attack.
표 Table 1. Final accuracies of differentially private models (σ = 10^-3 )
그림 Fig. 6. Model inversion attack results on differentially private face recognition models

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

그러나 확률적 경사 하강법은 데이터의 형태와 학습 모델의 목적에 따라 주어진 프라이버시 파라미터 경계 내에서 모델이 충분히 학습되지 않을 수 있다. 따라서 이를 확장하여 가속화된 학습을 통해 주어진 프라이버시 파라미터의 경계 내에서 모델의 성능을 향상시킬 수 있는 방안에 대해 연구한다. 또한, 주어진 프라이버시 파라미터의 범위 내에서, 차분 프라이버시는 만족하지만, 모델 전도 공격에 대해 저항성을 갖지 않는 문제점을 분석하고 랜덤 노이즈의 표준편차(noisescale)에 따른 프라이버시 만족도를 분석한다.
본 논문에서는 신경망 기반의 얼굴 인식 모델에 대하여 모델 전도 공격에 저항성을 가질 수 있는 차분 프라이버시 적용 방안에 대한 연구를 수행하였다. 기존에 제안된 차분 프라이버시를 보장하는 확률적 경사 하강법이 적당한 프라이버시 예산 내에서 충분히 학습되지 못하는 문제점을 파악하였으며 momentum 학습법으로의 확장을 통해 학습이 원활히 수행되도록 하였다.
본 논문에서는 인공 신경망 모델에서 모델 전도공격에 대하여, 해당 공격에 저항성을 갖고 모델의 성능을 보존할 수 있는 차분 프라이버시 적용 기법에 관한 연구를 수행한다. 특히 기존에 제안된 차분 프라이버시를 만족하는 학습 기법에 대하여, 가속화된 학습으로의 확장 및 모델 전도 공격에 저항성을 갖는 프라이버시 파라미터 설정에 관한 연구를 수행한다.
본 논문에서는 인공 신경망 모델에서 모델 전도공격에 대하여, 해당 공격에 저항성을 갖고 모델의 성능을 보존할 수 있는 차분 프라이버시 적용 기법에 관한 연구를 수행한다. 특히 기존에 제안된 차분 프라이버시를 만족하는 학습 기법에 대하여, 가속화된 학습으로의 확장 및 모델 전도 공격에 저항성을 갖는 프라이버시 파라미터 설정에 관한 연구를 수행한다.

가설 설정

그룹 프라이버시(group privacy): 데이터베이스 d에 존재하는 개별 데이터들은 개별 주체와 1대 1로 연결된다고 가정한다. 그러나 단일 주체에 대해 2개 이상의 데이터가 연결된 경우 그룹 프라이버시를 고려해야 한다.

제안 방법

3의 왼쪽) 학습이 충분히 수행되지 않음을 알 수 있다. 따라서 본 논문에서는 주어진 프라이버시 예산 내에서 충분한 모델 최적화를 위해 차분 프라이버시를 보장하는 가속화된 학습법(differentially private acceleratedlearning)을 고려한다.
따라서 이를 확장하여 가속화된 학습을 통해 주어진 프라이버시 파라미터의 경계 내에서 모델의 성능을 향상시킬 수 있는 방안에 대해 연구한다. 또한, 주어진 프라이버시 파라미터의 범위 내에서, 차분 프라이버시는 만족하지만, 모델 전도 공격에 대해 저항성을 갖지 않는 문제점을 분석하고 랜덤 노이즈의 표준편차(noisescale)에 따른 프라이버시 만족도를 분석한다.
또한, 차분 프라이버시가 보장된 모델에 대해 모델 전도 공격을 수행하였으며, 실험을 통해 모델 전도 공격에 대한 프라이버시 예산/노이즈 스케일의 관계를 확인하였다. 그 결과, 6 이하의 차분 프라이버시 예산 내에서 모델 전도 공격에 저항성을 가질 수 있다는 것을 확인하였으며, 프라이버시 예산이 비교적 큰 10의 경우 작은 노이즈 스케일의 모델에서 모델 전도 공격에 대한 위험성을 확인하였다.
차분 프라이버시를 보장하는 얼굴 인식 모델에 Algorithm 3을 적용하여 모델 전도 공격에 대한차분 프라이버시의 저항성 분석한다. Algorithm 3에 대한 파라미터는 Fredrikson 등[5]과 마찬가지로 # 로 설정한다.

대상 데이터

얼굴 인식 모델을 위해 Fredrikson 등[5]의 모델 전도 공격 실험에 사용된 AT&T laboratories Cambridge 얼굴 데이터베이스[16]를 활용하였다. 전체 데이터베이스는 400개의 흑백 이미지로 구성되며, 각 이미지의 크기는 92×112픽셀로 구성된다.
얼굴 인식 모델을 위해 Fredrikson 등[5]의 모델 전도 공격 실험에 사용된 AT&T laboratories Cambridge 얼굴 데이터베이스[16]를 활용하였다. 전체 데이터베이스는 400개의 흑백 이미지로 구성되며, 각 이미지의 크기는 92×112픽셀로 구성된다. 또한, 데이터베이스는 40개의 클래스(40명)로 구성되며, 단일 클래스에 10개의 이미지가 포함된다.

이론/모형

모델 전도 공격에 대한 차분 프라이버시의 저항성을 분석하기 위해 차분 프라이버시를 보장하는 신경망 모델을 생성한다. 본 논문에서는 가장 기본적인 단일 계층 신경망 모델(또는 softmax regressionmodel)을 고려한다. 입력 데이터는 92×112픽셀을 갖는 흑백 이미지이므로 입력 layer의 크기는 10304이며, 데이터 집합은 40명에 대한 이미지로 구성되기 때문에 출력 layer의 크기는 40이다.

성능/효과

또한, 차분 프라이버시가 보장된 모델에 대해 모델 전도 공격을 수행하였으며, 실험을 통해 모델 전도 공격에 대한 프라이버시 예산/노이즈 스케일의 관계를 확인하였다. 그 결과, 6 이하의 차분 프라이버시 예산 내에서 모델 전도 공격에 저항성을 가질 수 있다는 것을 확인하였으며, 프라이버시 예산이 비교적 큰 10의 경우 작은 노이즈 스케일의 모델에서 모델 전도 공격에 대한 위험성을 확인하였다.
주어진 프라이버시 파라미터 집합 {ε, δ, σ, T, q}에 대해, 각 모델에서 learning rate와 같은 하이퍼 파라미터를 찾아 최적의 성능을 갖는 결과를 기록하였다. 동일한 프라이버시 예산 내에서 노이즈 스케일이 증가할수록 모델의 성능이 증가하였으며, 동일한 노이즈 스케일에 대해 프라이버시 예산이 증가할수록 모델의 성능이 증가함을 알 수 있다. 프라이버시 예산과 노이즈 스케일이 매우 작은 경우 학습이수행되지 않고 종료된다.
특히, 얼굴 인식 문제를 위해 학습된 신경망 모델로부터 학습 데이터가 복구될 수 있음을 밝혔으며 white-box 접근법뿐만 아니라 black-box 접근법으로도 해당 공격이 가능함을 보였다. 또한, 단일 계층 신경망뿐만 아니라 다중 계층 신경망 및 심층 신경망에 대해 공격이 가능함을 보였다.

후속연구

기존의 모델 전도 공격 [5]의 경우(프라이버시를 고려하지 않은 모델에 대한 모델 전도 공격) 복구된 이미지의 인식 가능성(식별성)은 Amazon의 Mechanical Turk survey(5개의 후보 이미지 중, 모델 전도 공격을 통해 복구된 이미지와 동일한 클래스를 찾는 조사)를 통해 수행되었다. 향후 차분 프라이버시를 만족하는 모델로부터 모델 전도 공격을 통해 복구된 이미지에 대한 인식 가능성을 평가하는 연구가 필요하며, 이는 차분 프라이버시의 실제 적용에 도움이 될 것으로 판단된다.

질의응답

핵심어	질문	논문에서 추출한 답변
	차분 프라이버시는 어떤 방식으로 수행되는가?	차분 프라이버시는 엄격한 프라이버시 개념으로써 데이터 수집, 공유 및 분석 등 다양한 분야에서 프라이버시 보존을 목적으로 광범위하게 적용되고 있다[8][9]. 차분 프라이버시는 주어진 데이터베이스에 대하여, 데이터베이스에 존재하는 개별 데이터에 대해 해당 데이터의 존재 여부에 상관없이 유사한 분포로 질의에 응답하는 메커니즘을 수행한다. 최근 기계학습 및 인공 신경망 분야에서 프라이버시를 보존하기 위해 차분 프라이버시가 적용되고 있지만, 프라이버시 파라미터의 설정에 따라 프라이버시를 충분히 보장하지 못하거나 분석 모델의 성능이 크게 떨어질 수 있는 문제점을 갖고 있다.
	신경망 모델의 역할은 무엇인가?	입력으로부터 출력까지의 단계를 파라미터로 나타낼 수 있는 함수이며, 최근 기계학습 분야에서 뛰어난 효율성과 성능을 보이고 있다. 신경망 모델은 데이터의 입력과 출력의 관계를 적합하게 표현하도록 하는 목적을 가지며, 주어진 학습 데이터 집합을 통해 해당 목적을 학습한다. 이때 학습 과정은 신경망 모델을 통해 해결하고자 하는 문제(task)에 대하여 학습 데이터로부터의 오류를 손실함수로 정의하고 해당 손실함수가 최소가 되도록 모델을 최적화한다.
	모델 전도 공격은 해당 데이터를 어떻게 식별하는가?	이는 표적이 되는 클래스에 대한 신뢰도 값이 최대가 되는 입력값을 찾도록 최적화를 수행한다. 즉, 주어진 타겟 모델 f대하여, fi (X) 입력 벡터X 에 대한 타겟 모델의 출력에서 X가 클래스 i에 속할 확률(신뢰도 값)을 나타낸다면, (1-fi(X))을 손실함수 ℒ로 정의하여 경사 하강법을 통해 ℒ이 최소가 되도록 에 대한 최적화를 수행한다. 최종적으로 최적화가 완료된 는 클래스 i에 해당하는 데이터라는 사실을 쉽게 식별할 수 있다.

참고문헌 (16)

K. He, X. Zhang, S. Ren, and J. Sun, "Delving deep into rectifiers: Surpassing human-level performance on imagenet classification," In Proceedings of the IEEE international conference on computer vision, pp. 1026-1034, Dec. 2015.
O. Vinyals, L. Kaiser, T. Koo, S. Petrov, I. Sutskever, and G. Hinton, "Grammar as a foreign language," In Advances in neural information processing systems, pp. 2773-2781, Dec, 2015.
C. J. Maddison, A. Huang, I. Sutskever, and D. Silver, "Move evaluation in Go using deep convolutional neural networks," arXiv preprint arXiv:1412.6564, 2014.
M. Fredrikson, E. Lantz, S. Jha, S. Lin, D. Page, and T. Ristenpart, "Privacy in pharmacogenetics: An end-to-end case study of personalized warfarin dosing," In 23rd USENIX Security Symposium, pp. 17-32, Aug. 2014.
M. Fredrikson, S. Jha, and T. Ristenpart, "Model inversion attacks that exploit confidence information and basic countermeasures," In Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security, pp. 1322-1333, Oct, 2015.
R. Shokri, M. Stronati, C. Song, and V. Shmatikov, "Membership inference attacks against machine learning models," In 2017 IEEE Symposium on Security and Privacy, pp. 3-18, May, 2017.
F. Tramer, F. Zhang, A. Juels, M. K. Reiter, and T. Ristenpart, "Stealing machine learning models via prediction apis," In 25th USENIX Security Symposium, pp. 601-618, Jun, 2016.
C. Dwork, F. McSherry, K. Nissim, and A. Smith, "Calibrating noise to sensitivity in private data analysis," In Theory of cryptography conference, pp. 265-284. March, 2006.
C. Dwork and A. Roth, "The algorithmic foundations of differential privacy," Foundations and Trends(R) in Theoretical Computer Science, 9(3-4), 211-407. 2014.
M. Abadi, A. Chu, I. Goodfellow, H. B. McMahan, I. Mironov, K. Talwar, and L. Zhang, "Deep learning with differential privacy," In Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security, pp. 308-318, 2016, October.
C. Dwork, K. Kenthapadi, F. McSherry, I. Mironov, and M. Naor, "Our data, ourselves: Privacy via distributed noise generation," In Annual International Conference on the Theory and Applications of Cryptographic Techniques, pp. 486-503, May, 2006.
C. Dwork and J. Lei, "Differential privacy and robust statistics," In STOC, Vol. 9, pp. 371-380, May, 2009.
C. Dwork, G. N. Rothblum, and S. Vadhan, "Boosting and differential privacy," In 2010 IEEE 51st Annual Symposium on Foundations of Computer Science, pp. 51-60, October, 2010.
P. Kairouz, S. Oh, and P. Viswanath, "The composition theorem for differential privacy," IEEE Transactions on Information Theory, 63(6), 4037-4049, 2017.

상세보기
A. Beimel, S. P. Kasiviswanathan, and K. Nissim, "Bounds on the sample complexity for private learning and private data release," In Theory of Cryptography Conference, pp. 437-454, February, 2010.
AT&T Laboratories Cambridge. The ORL database of faces. http://www.cl.cam.ac.uk/research/dtg/attarchive/facedatabase.html. 2019. 01.

이 논문을 인용한 문헌

저자의 다른 논문 :

LOADING...

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

AI 환경에서 모델 전도 공격에 안전한 차분 프라이버시 기술
Differential Privacy Technology Resistant to the Model Inversion Attack in AI Environments 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

표/그림 (7)

표/그림 (7)

AI 본문요약
AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

이론/모형

성능/효과

후속연구

질의응답

참고문헌 (16)

이 논문을 인용한 문헌

저자의 다른 논문 :

연구과제 타임라인

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

AI 환경에서 모델 전도 공격에 안전한 차분 프라이버시 기술 Differential Privacy Technology Resistant to the Model Inversion Attack in AI Environments 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

표/그림 (7) 모든 표/그림 보기

표/그림 (7) 슬라이드로 보기

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

이론/모형

성능/효과

후속연구

질의응답

참고문헌 (16)

이 논문을 인용한 문헌

저자의 다른 논문 :

박철희 (6) 홍도원 (38)

연구과제 타임라인

전체(0) 논문(0) 특허(0) 보고서(0)

전체(0) 논문(0) 특허(0) 보고서(0)

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

AI 환경에서 모델 전도 공격에 안전한 차분 프라이버시 기술
Differential Privacy Technology Resistant to the Model Inversion Attack in AI Environments 원문보기

초록
AI-Helper

표/그림 (7)

표/그림 (7)

AI 본문요약
AI-Helper