人工智能安全：原理与实践 课件 第11章 属性推理攻击原理与实践 .pptx

第11章属性推理攻击原理与实践11.1属性推理攻击原理简介

本章介绍属性推理攻击通常利用机器学习和数据挖掘技术，从公开或已知的属性中推测出隐私属性,因此从隐私保护的角度研究属性推理攻击具有重要的理论意义和实用价值。本章主要讲述属性推理攻击（AttributeInferenceAttack）的概念、原理、攻击场景和常用方法。在编程实践部分讲述了一个基于神经网络的属性推理攻击。

1.属性推理攻击介绍属性推理攻击的目标通常包括个人敏感信息，用户行为模式，社交关系等。除了造成对用户隐私的严重侵犯，通过属性推理攻击获取的信息，攻击者可以进一步进行社会工程学攻击，例如假冒身份进行诈骗、获取更多个人敏感信息，甚至进行身份盗用。如图所示为机器学习中的属性隐私问题。

2.属性推理攻击的攻击场景属性推理攻击通常包含以下具体攻击场景：第一种是社交网络用户的隐私信息（如性别、年龄、兴趣爱好等）通过其社交关系和互动行为被推断。第二种是推荐系统中的属性推理攻击，推荐系统用户的隐私信息（如性别、年龄、收入水平等）通过其历史浏览和购买记录被推断。第三种是位置数据中的属性推理攻击，攻击者通过用户的地理位置数据推断用户的隐私属性。

3.属性推理攻击常用方法而属性推理攻击通常有以下攻击方法：（1）第一种是基于对抗变分自动编码器，它结合了变分自动编码器（VAE）和生成对抗网络（GANs）的优点。（2）第二种是基于图卷积网络的属性推理，它适用于处理图结构数据，通过聚合节点的邻居信息进行特征学习，可以用于社交网络中推断用户的隐私属性。（3）最后一种常用方法是基于隐马尔可夫模型的属性推理，隐马尔可夫模型是一种统计模型，通过观测序列推断隐藏状态序列，可以用于时间序列数据中的隐私属性推断。

小结属性推理攻击是指攻击者通过访问用户的部分数据和相关信息，推断出用户的其他属性或敏感信息的攻击方式。本小节主要介绍属性推理攻击的攻击场景和常用方法。

祝同学们学习进步！致谢

李剑博士，教授，博士生导师网络空间安全学院lijian@bupt.edu.cnJanuary23,2025第11章属性推理攻击原理与实践实践11-1基于神经网络的属性推理攻击

本实践介绍本小节主要讲述如何使用神经网络技术进行属性推理攻击。

1.实践内容本次实践中使用的攻击方法的基本步骤为：

2.实验目的本次实践中使用的攻击方法的基本步骤为：（1）了解属性推理攻击隐私问题（2）熟悉属性推理攻击及实现（3）体验对抗性思维

3.实验环境? python版本：3.10或更高版本? 深度学习框架：torch2.2.2，torchvision0.17.2? 其他库版本：scikit-learn1.3.0，numpy1.24.3，pandas1.5.3、torchvision0.15.2、click7.1.2? 运行平台：pycharm? 数据集：使用本地pkl数据集，广泛使用的人脸图像数据集，通常用于面部识别，年龄估计，性别分类等任务，包含大量不同年龄、性别和种族的人的面部图像。这一部分参见本教材的网盘。

4.实践步骤1.编写模型文件af_models.py。这段代码实现了一个攻击模型（AttackModel）和一个目标模型（TargetModel）。攻击模型用于执行攻击，预测某个特定维度（输入的特征向量）的输出结果。目标模型则是一个典型的卷积神经网络（CNN），负责从图像中提取特征并进行分类预测。

4.实践步骤第1步：导入第三方库。第2步：设置随机种子。第3步：定义攻击模型(AttackModel)并进行初始化。第4步：攻击模型的初始化。第5步：攻击模型的前向传播。第6步：定义目标模型(TargetModel)。第7步：定义目标模型的特征提取器部分。第8步：定义目标模型的分类器部分。第9步：定义目标模型的输出层部分。第10步：定义目标模型的前向传播。

4.实践步骤2.数据加载文件af_datasets.py。定义了两个数据集类：UTKFace和AttackData，分别用于处理UTKFace数据集的加载和攻击模型所需的数据。UTKFace类主要从数据集中读取图像及其标签（如性别或种族）；AttackData类则进一步通过目标模型提取特征向量z，并将其与标签一起返回。

4.实践步骤第1步：导入必要的库。第2步：设置随机种子和设备。第3步：定义UTKFace数据集类及构造函数。第4步：定义UTKFace类的获取数据集长度__len__方法。第5步：定义UTKFace类的获取单个样本__getitem__方法。第6步：加载图像并预处理。第7步：根据标签类型返回标签。第8步：定义攻击数据集类AttackData并初