Page 314 - 《软件学报》2025年第5期
P. 314
2214 软件学报 2025 年第 36 卷第 5 期
原始数据集中注入污染数据进行操纵攻击, 可以使机器学习分类器的分类边界发生偏移或者改变, 从而主动篡改
机器学习模型, 产生错误的输出结果, 造成安全隐患 [9] . 例如, 微软开发的与 Twitter 用户交谈的聊天机器人 Tay, 利
用社交网络上的对话数据进行训练, 机器人 Tay 在上线 16 h 后被关闭, 因为它受到伪数据攻击后开始提出与种族
主义相关的评论 [10] .
LDP 协议伪数据攻击的相关工作已有进展. 一些工作 [11–14] 观察到特定的随机响应方案容易受到操纵攻击, 并
探讨了潜在的抵御方法. Cao 等人 [15] 对 kRR [16] 、OUE [17] 、OLH [17] 进行伪数据攻击, 将攻击者选择的项目估计为高
频率项目, 操纵数据估计结果. 文献 [15] 攻击的这 3 种 LDP 机制设计较为简单, 现在已经有一些性能更好的 LDP
机制. 另外, Cao 等人 [18] 还对频繁项识别进行了伪数据攻击. Wu 等人对键值数据的 LDP 协议 (PrivKVM [19] 、
PCKV-UE [20] 、PCKV-GRR [20] ) 进行伪数据攻击, 将攻击转化为一个双目标优化问题, 同时最大化攻击者选择的目
标键的频率和均值, 弥补了对 LDP 协议中键值数据攻击的空白. 此外 Wu 等人提出了两种针对键值数据 LDP 协
议的伪数据攻击的防御措施, 包括基于单类分类器的检测和基于异常得分的检测. Li 等人 [21] 针对均值估计和方差
估计的 LDP 协议 (SR [22] 、PM [23] ) 进行伪数据攻击, 该攻击可以将估计的均值和方差调整到攻击者所设定的目标
值. 与前人攻击不同的是, Li 等人提出的攻击包含输入污染攻击和输出污染攻击. 输入污染攻击可以通过假用户
向 LDP 协议中注入虚假的输入数据, 输出污染攻击可以修改受控用户端的 LDP 扰动机制的输出, 它为 LDP 协议
中的伪数据攻击提供了一个新的视角.
基于上述分析, 本文对两种效用最优的 LDP 协议 (子集选择机制和环机制) 进行伪数据攻击, 根据这两种
LDP 协议的特点, 为假用户设计使攻击效用最大化的伪造数据. 攻击目标是提高选定项目的估计频率, 降低子集
选择机制和环机制的整体性能.
2 预备知识与问题定义
这里先给出 LDP 频率机制所考虑的问题场景. 假设有 n 个用户, 每个用户持有一个私有的隐私数据. 用户原
始数据的取值范围为{1, 2,…, d}, 简记为 [d]. 数据收集方的任务是估计输入数据取值范围中每个值 x∊[d] 在所有
n 个用户中出现的频率, 即原始数据等于 x 的用户在所有用户中的比例.
LDP 机制可以在保护每个用户数据不泄漏给数据收集方的同时, 使得数据收集方获得高准确度的频率估计
结果. 然而, LDP 机制也面临着恶意用户伪数据攻击等问题, 下面简要介绍 LDP 模型和实现机制, 并定义本文所关
注的伪数据攻击.
2.1 本地差分隐私
本地差分隐私是差分隐私的变体, 能够在不可信环境中保护用户隐私数据. 用户使用随机化扰动机制来扰动
他们的数据, 数据收集方可以根据该随机化扰动机制来估计某些统计量, 例如频率. 本质上, 对于任意两个输入值
v 1 和 v 2 , LDP 确保了数据收集方在接收到输出 y 时, 不能分辨出输入是 v 1 还是 v 2 . 本地差分隐私定义如下.
定义 1. 本地差分隐私. 一个随机化算法 R: D → Y 满足 -本地差分隐私, 当且仅当, 对任意两个用户的数据
ε
v 1 , v 2 ∈ D , 以及任意可能的输出 y ∈ Y 满足如下不等式:
ε
Pr(R(v 1 ) = y) ⩽ e Pr(R(v 2 ) = y) (1)
从定义 1 中可以看出, LDP ε 决定隐私保护的强度.
中隐私预算
2.2 子集选择机制
子集选择机制 [6,7] 是一种用于类别型数据频率估计的 LDP 协议, 其对项目频率的估计是无偏估计, 均方误差
( ε )
e d
为 Θ . 相比于其他 LDP 频率估计机制, 子集选择机制估计频率的均方误差数量级最小, 具有最优效用.
ε
n(e −1) 2
在该机制中, 每个用户需要从 d 个数据中随机抽取 k (1 ⩽ k ⩽ d) 个数据, 传输给数据收集方, 依照概率 p 决定是否
提交自己的真实数据:
ke ε
p = (2)
ke +d −k
ε
