要約
認証システムは、敵対者がターゲットの機械学習モデルの逆を近似できるモデル反転攻撃に対して脆弱です。
生体認証モデルは、このタイプの攻撃の最有力候補です。
これは、生体認証モデルを逆にすることで、攻撃者が現実的な生体入力を生成して、生体認証システムを偽装できるようになるためです。
モデル反転攻撃を成功させるための主な制約の 1 つは、必要なトレーニング データの量です。
この作業では、虹彩と顔の生体認証システムに焦点を当て、必要なトレーニング データの量を大幅に削減する新しい手法を提案します。
複数のモデルの出力を活用することで、アヤメ データの場合は Ahmad and Fuller (IJCB 2020) のトレーニング セット サイズの 10 分の 1、Mai らのトレーニング セット サイズの 1/1000 でモデル反転攻撃を実行できます。
(Pattern Analysis and Machine Intelligence 2019) 顔データ用。
私たちの新しい攻撃手法は、アラインメント損失のある構造化されたランダムとして表されます。
私たちの攻撃はブラック ボックスであり、ターゲット ニューラル ネットワークの重みに関する知識は必要なく、出力ベクトルの次元と値のみが必要です。
アラインメント損失の汎用性を示すために、攻撃フレームワークを生体認証データのメンバーシップ推論のタスクに適用します (Shokri et al., IEEE S&P 2017)。
アイリスの場合、分類ネットワークに対するメンバーシップ推論攻撃の精度が 52% から 62% に向上します。
要約(オリジナル)
Authentication systems are vulnerable to model inversion attacks where an adversary is able to approximate the inverse of a target machine learning model. Biometric models are a prime candidate for this type of attack. This is because inverting a biometric model allows the attacker to produce a realistic biometric input to spoof biometric authentication systems. One of the main constraints in conducting a successful model inversion attack is the amount of training data required. In this work, we focus on iris and facial biometric systems and propose a new technique that drastically reduces the amount of training data necessary. By leveraging the output of multiple models, we are able to conduct model inversion attacks with 1/10th the training set size of Ahmad and Fuller (IJCB 2020) for iris data and 1/1000th the training set size of Mai et al. (Pattern Analysis and Machine Intelligence 2019) for facial data. We denote our new attack technique as structured random with alignment loss. Our attacks are black-box, requiring no knowledge of the weights of the target neural network, only the dimension, and values of the output vector. To show the versatility of the alignment loss, we apply our attack framework to the task of membership inference (Shokri et al., IEEE S&P 2017) on biometric data. For the iris, membership inference attack against classification networks improves from 52% to 62% accuracy.
arxiv情報
著者 | Sohaib Ahmad,Benjamin Fuller,Kaleel Mahmood |
発行日 | 2022-09-22 14:00:43+00:00 |
arxivサイト | arxiv_id(pdf) |
提供元, 利用サービス
arxiv.jp, Google