19、机器学习中的数据安全与攻击：方法与实践

最新推荐文章于 2025-12-02 20:26:37 发布

perl8

最新推荐文章于 2025-12-02 20:26:37 发布

阅读量51

点赞数

CC 4.0 BY-SA版权

分类专栏：机器学习赋能网络安全实战文章标签：机器学习数据安全隐私保护

本文链接：https://blog.youkuaiyun.com/perl8/article/details/149877682

机器学习赋能网络安全实战专栏收录该内容

20 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

机器学习中的数据安全与攻击：方法与实践

1. HIPAA数据泄露的探索与可视化

在进行数据分析时，数据探索是首要步骤，通过可视化探索能帮助我们理解数据集及其特征。数据可视化将数据置于直观的情境中，让我们强大的视觉处理中心快速发现数据中的模式和关联。下面将对HIPAA机密信息泄露的公共数据集进行探索和可视化。

1.1 准备工作

需要使用pip安装 pandas 和 sklearn ，命令如下：

pip install pandas sklearn

同时，提供了 HIPAA-breach-report-2009-to-2017.csv 数据集用于后续操作。

1.2 操作步骤

加载并清理HIPAA数据泄露数据集

import pandas as pd
df = pd.read_csv("HIPAA-breach-report-2009-to-2017.csv")
df = df.dropna()

绘制受数据泄露影响的个人数量的直方图

%matplotlib inline
def_fig_size = (15, 6)
df["Individuals Affected"].plot(
    kind="hist", figsize=def_fig_size, log=True, title="Breach Size Distribution"
)

根据实体类型绘制平均泄露规模的柱状图

df.groupby("Covered Entity Type").mean().plot(
    kind="bar", figsize=def_fig_size, title="Average Breach Size by Entity Type"
)

绘制前20个州受数据泄露影响的个人数量的饼图

df.groupby("State").sum().nlargest(20, "Individuals Affected").plot.pie(
    y="Individuals Affected", figsize=def_fig_size, legend=False
)

根据泄露类型绘制平均泄露规模的柱状图

df.groupby("Type of Breach").mean().plot(
    kind="bar", figsize=def_fig_size, title="Average Breach Size by Entity Type"
)

实例化TF-IDF向量化器

from sklearn.feature_extraction.text import TfidfVectorizer
vectorizer = TfidfVectorizer()

拟合向量化器并对泄露描述进行向量化

df["Web Description"] = df["Web Description"].str.replace("\r", " ")
X = df["Web Description"].values
X_transformed = vectorizer.fit_transform(X)

选择泄露描述中基于TF-IDF的前15个最重要特征

import numpy as np
feature_array = np.array(vectorizer.get_feature_names())
tfidf_sorting = np.argsort(X_transformed.toarray()).flatten()[::-1]
n = 15
top_n = feature_array[tfidf_sorting][:n]
print(top_n)

输出结果为：

['this' 'review' '842' 'south' 'ransomware' 'memorial' 'specific'
 'birthdates' 'consolidated' 'malware' 'license' 'driver' 'found'
 'clinic' 'information']

打印包含“review”关键字的泄露描述

k = 2
i = 0
for x in df["Web Description"].values:
    if "review" in x:
        i += 1
        print(x)
        print()
        if i == k:
            break

部分输出示例：

A laptop was lost by an employee... all employees received
additional security training.

The covered entity's (CE) business associate (BA) incorrectly... BA
to safeguard all PHI.

1.3 工作原理

首先将HIPAA数据集读入数据框并删除包含NA的行。从直方图可以看出，大多数数据泄露规模相对较小，但有少数大规模泄露，这符合帕累托原则。按部门绘制泄露情况，发现最大的泄露通常发生在商业合作伙伴中。通过饼图可以了解哪些州的HIPAA数据泄露最多。对泄露描述进行基本的自然语言处理，TF-IDF能够找到一些非常有信息价值的关键词，如“ransomware”和“driver”。最后，打印包含“review”关键字的泄露描述，“review”在质量控制和事件响应中是一个非常重要的词。

2. 安全与隐私AI

机器学习在很多方面都有重要应用，但这些应用往往需要访问私人和个人数据，这就需要一种新的机器学习方法，即安全与隐私AI。下面介绍几种相关的技术。

2.1 联邦学习

2.1.1 原理与价值

联邦学习是一种为解决数据隐私问题而开发的机器学习技术。以手机的下一个单词预测模型为例，出于隐私考虑，我们不希望将短信数据发送到中央服务器进行训练，但又希望有一个准确的预测算法。联邦学习的核心思想是训练数据集保留在数据生产者手中，在保护隐私和所有权的同时，仍可用于训练集中式模型。在网络安全领域，从多个不同来源收集良性和恶意样本对于创建强大的模型至关重要，但由于隐私问题，这很难实现，联邦学习正好解决了这个问题。近年来，随着数据隐私的重要性日益增加，联邦学习越来越受到关注，像苹果和谷歌等大公司已经开始大力投资这项技术。

2.1.2 准备工作

使用pip安装 tensorflow_federated 、 tensorflow_datasets 和 tensorflow ，命令如下：

pip install tensorflow_federated==0.2.0 tensorflow-datasets tensorflow==1.13.1

安装特定版本的包以防止代码出现问题。

2.1.3 操作步骤

导入TensorFlow并启用即时执行

import tensorflow as tf
tf.compat.v1.enable_v2_behavior()

准备数据集，导入Fashion MNIST并将其分为两个环境（Alice和Bob）

import tensorflow_datasets as tfds
first_50_percent = tfds.Split.TRAIN.subsplit(tfds.percent[:50])
last_50_percent = tfds.Split.TRAIN.subsplit(tfds.percent[-50:])
alice_dataset = tfds.load("fashion_mnist", split=first_50_percent)
bob_dataset = tfds.load("fashion_mnist", split=last_50_percent)

定义一个辅助函数，将数据类型从整数转换为浮点数

def cast(element):
    """Casts an image's pixels into float32."""
    out = {}
    out["image"] = tf.image.convert_image_dtype(element["image"], dtype=tf.float32)
    out["label"] = element["label"]
    return out

定义一个辅助函数，将数据展平以输入到神经网络中

import collections
def flatten(element):
    """Flattens an image in preparation for the neural network."""
    return collections.OrderedDict(
        [
            ("x", tf.reshape(element["image"], [-1])),
            ("y", tf.reshape(element["label"], [1])),
        ]
    )

定义一个辅助函数，对数据进行预处理

BATCH_SIZE = 32
def preprocess(dataset):
    """Preprocesses images to be fed into neural network."""
    return dataset.map(cast).map(flatten).batch(BATCH_SIZE)

对数据进行预处理

preprocessed_alice_dataset = preprocess(alice_dataset)
preprocessed_bob_dataset = preprocess(bob_dataset)
federated_data = [preprocessed_alice_dataset, preprocessed_bob_dataset]

定义神经网络的损失函数

def custom_loss_function(y_true, y_pred):
    """Custom loss function."""
    return tf.reduce_mean(
        tf.keras.losses.sparse_categorical_crossentropy(y_true, y_pred)
    )

定义一个函数，实例化一个简单的Keras神经网络

from tensorflow.python.keras.optimizer_v2 import gradient_descent
LEARNING_RATE = 0.02
def create_compiled_keras_model():
    """Compiles the keras model."""
    model = tf.keras.models.Sequential(
        [
            tf.keras.layers.Dense(
                10,
                activation=tf.nn.softmax,
                kernel_initializer="zeros",
                input_shape=(784,),
            )
        ]
    )
    model.compile(
        loss=custom_loss_function,
        optimizer=gradient_descent.SGD(learning_rate=LEARNING_RATE),
        metrics=[tf.keras.metrics.SparseCategoricalAccuracy()],
    )
    return model

创建一个虚拟样本批次，并定义一个函数从Keras模型返回联邦学习模型

batch_of_samples = tf.contrib.framework.nest.map_structure(
    lambda x: x.numpy(), iter(preprocessed_alice_dataset).next()
)
import tensorflow_federated as tff
def model_instance():
    """Instantiates the keras model."""
    keras_model = create_compiled_keras_model()
    return tff.learning.from_compiled_keras_model(keras_model, batch_of_samples)

声明联邦平均的迭代过程，并运行一个阶段的计算

federated_learning_iterative_process = tff.learning.build_federated_averaging_process(
    model_instance
)
state = federated_learning_iterative_process.initialize()
state, performance = federated_learning_iterative_process.next(state, federated_data)

显示计算的指标

print(performance)

输出结果为：

AnonymousTuple([(sparse_categorical_accuracy, 0.74365), (loss, 0.82071316)])

2.1.4 工作原理

首先导入TensorFlow并启用即时执行，这样计算会尽快执行。导入Fashion MNIST数据集并将其50:50分割给Alice和Bob。定义函数将像素值从整数转换为浮点数，并将图像展平为单个向量，以便输入到全连接神经网络中。对Alice和Bob的数据集进行预处理。定义损失函数和Keras神经网络。创建虚拟样本批次并定义返回联邦学习模型的函数。运行联邦平均的一个阶段，该算法结合了每个客户端数据的局部随机梯度下降，然后由服务器进行模型平均，从而保护了客户端的数据机密性。最后，观察性能指标，发现算法确实能够训练并提高准确率。

2.2 加密计算

2.2.1 原理与应用

加密计算是一种重要的技术，这里主要介绍安全多方计算。通过构建一个简单的加密计算器，我们可以学习如何对加密数字进行加法运算，这些思想在隐私深度学习预测中会很有用。

2.2.2 准备工作

除了Python，此方法无需其他安装要求。

2.2.3 操作步骤

导入随机库并选择一个大质数P

import random
P = 67280421310721

定义一个用于三方的加密函数

def encrypt(x):
    """Encrypts an integer between 3 partires."""
    share_a = random.randint(0, P)
    share_b = random.randint(0, P)
    share_c = (x - share_a - share_b) % P
    return (share_a, share_b, share_c)

加密一个数值变量

x = 17
share_a, share_b, share_c = encrypt(x)
print(share_a, share_b, share_c)

输出结果示例：

16821756678516 13110264723730 37348399908492

定义一个解密函数

def decrypt(share_a, share_b, share_c):
    """Decrypts the integer from 3 shares."""
    return (share_a + share_b + share_c) % P

解密加密后的变量x

decrypt(share_a, share_b, share_c)

输出结果为：

定义一个函数，用于对两个加密数字进行加法运算

def add(x, y):
    """Addition of encrypted integers."""
    z = list()
    z.append((x[0] + y[0]) % P)
    z.append((x[1] + y[1]) % P)
    z.append((x[2] + y[2]) % P)
    return z

对两个加密变量进行加法运算并解密结果

x = encrypt(5)
y = encrypt(9)
decrypt(*add(x, y))

输出结果为：

2.2.4 工作原理

首先导入随机库并定义一个大质数P，用于生成随机整数和进行模运算。加密函数将一个整数随机拆分为三个部分，分别分配给三个参与方。解密函数将三个部分相加并取模，得到原始整数。加密加法是对每个部分分别相加并取模。在加密深度学习预测中，PySyft的 .share(client, server,...) 命令与这里的加密过程基本相同。最后，通过示例证明可以对加密实体进行计算。

2.3 隐私深度学习预测

2.3.1 背景与需求

在很多情况下，公司A可能有一个训练好的模型，希望将其作为服务提供，但又不想分享模型以防止知识产权被盗。简单的解决方案是让客户将数据发送到公司A进行预测，但这会涉及客户数据隐私问题。加密计算可以解决这个难题。

2.3.2 准备工作

使用pip安装 PyTorch 、 Torchvision 和 PySyft ，命令如下：

pip install torch torchvision syft

同时，提供了一个预训练模型 server_trained_model.pt 用于后续操作。

2.3.3 操作步骤

导入torch并访问其数据集

import torch
import torch.nn as nn
import torch.nn.functional as F
from torchvision import datasets, transforms

导入PySyft并将其挂钩到torch

import syft as sy
hook = sy.TorchHook(torch)
client = sy.VirtualWorker(hook, id="client")
server = sy.VirtualWorker(hook, id="server")
crypto_provider = sy.VirtualWorker(hook, id="crypto_provider")

定义一个简单的神经网络

class Net(nn.Module):
    def __init__(self):
        super(Net, self).__init__()
        self.fc1 = nn.Linear(784, 500)
        self.fc2 = nn.Linear(500, 10)

    def forward(self, x):
        x = x.view(-1, 784)
        x = self.fc1(x)
        x = F.relu(x)
        x = self.fc2(x)
        return x

实例化模型并加载预训练权重

model = Net()
model.load_state_dict(torch.load("server_trained_model.pt"))
model.eval()

在客户端和服务器之间加密网络

model.fix_precision().share(client, server, crypto_provider=crypto_provider)

定义MNIST数据的加载器

test_loader = torch.utils.data.DataLoader(
    datasets.MNIST(
        "data",
        train=False,
        download=True,
        transform=transforms.Compose(
            [transforms.ToTensor(), transforms.Normalize((0.1307,), (0.3081,))]
        ),
    ),
    batch_size=64,
    shuffle=True,
)

使用MNIST数据加载器定义一个隐私加载器

private_test_loader = []
for data, target in test_loader:
    private_test_loader.append(
        (
            data.fix_precision().share(client, server, crypto_provider=crypto_provider),
            target.fix_precision().share(
                client, server, crypto_provider=crypto_provider
            ),
        )
    )

定义一个函数，评估隐私测试集

def test(model, test_loader):
    """Test the model."""
    model.eval()
    n_correct_priv = 0
    n_total = 0

遍历隐私数据，使用模型进行预测，解密结果并打印

    with torch.no_grad():
        for data, target in test_loader:
            output = model(data)
            pred = output.argmax(dim=1)
            n_correct_priv += pred.eq(target.view_as(pred)).sum()
            n_total += 64
            n_correct = n_correct_priv.copy().get().float_precision().long().item()
            print(
                "Test set: Accuracy: {}/{} ({:.0f}%)".format(
                    n_correct, n_total, 100.0 * n_correct / n_total
                )
            )

运行测试程序

test(model, private_test_loader)

输出结果示例：

Test set: Accuracy: 63/64 (98%)
Test set: Accuracy: 123/128 (96%)
Test set: Accuracy: 185/192 (96%)
Test set: Accuracy: 248/256 (97%)
Test set: Accuracy: 310/320 (97%)
Test set: Accuracy: 373/384 (97%)
Test set: Accuracy: 433/448 (97%)
<snip>
Test set: Accuracy: 9668/9920 (97%)
Test set: Accuracy: 9727/9984 (97%)
Test set: Accuracy: 9742/10048 (97%)

2.3.4 工作原理

首先导入必要的库，定义神经网络并加载预训练权重。将模型在客户端和服务器之间进行加密。使用MNIST数据集创建测试加载器和隐私加载器。定义测试函数，对隐私数据进行预测，解密结果并打印准确率。通过这种方式，客户端可以使用加密模型在自己的私有数据上进行预测，同时保护了数据隐私。

总结

本文介绍了HIPAA数据泄露的探索与可视化方法，以及安全与隐私AI中的联邦学习、加密计算和隐私深度学习预测等技术。这些技术在保护数据隐私的同时，为机器学习的应用提供了更多的可能性。通过具体的代码示例和操作步骤，我们可以更好地理解和应用这些技术。在实际应用中，我们可以根据具体需求选择合适的方法，以实现数据安全和隐私保护的目标。

技术对比表格

技术名称	应用场景	关键步骤	优点
联邦学习	保护数据隐私，在多个数据源上训练模型	数据分割、预处理、定义模型和损失函数、联邦平均	保护数据隐私，保留数据所有权
加密计算	对加密数据进行计算	选择质数、加密、解密、加密加法	可在加密状态下进行计算，保护数据隐私
隐私深度学习预测	客户使用加密模型在私有数据上进行预测	导入库、定义模型、加密模型和数据、预测和解密	保护模型知识产权和客户数据隐私

联邦学习流程mermaid流程图

graph LR
    A[导入TensorFlow并启用即时执行] --> B[导入Fashion MNIST数据集并分割]
    B --> C[定义数据处理函数]
    C --> D[预处理数据]
    D --> E[定义损失函数和模型]
    E --> F[创建虚拟样本批次和联邦学习模型]
    F --> G[运行联邦平均阶段]
    G --> H[显示性能指标]

加密计算流程mermaid流程图

graph LR
    A[导入随机库并选择质数P] --> B[定义加密函数]
    B --> C[加密数值变量]
    C --> D[定义解密函数]
    D --> E[解密加密变量]
    E --> F[定义加密加法函数]
    F --> G[对加密变量进行加法运算并解密结果]

隐私深度学习预测流程mermaid流程图

graph LR
    A[导入必要库] --> B[定义神经网络]
    B --> C[加载预训练权重]
    C --> D[加密模型]
    D --> E[创建测试加载器和隐私加载器]
    E --> F[定义测试函数]
    F --> G[对隐私数据进行预测和解密]
    G --> H[打印准确率]

3. 测试神经网络的对抗鲁棒性

3.1 背景与意义

在实际应用中，神经网络可能会受到对抗样本的攻击，这些对抗样本是通过对原始输入数据进行微小的、人眼难以察觉的扰动而生成的，但却能使神经网络做出错误的预测。测试神经网络的对抗鲁棒性可以帮助我们评估模型在面对这些攻击时的稳定性和可靠性，从而提高模型的安全性。

3.2 准备工作

需要安装相关的库，如 Foolbox 等，安装命令可根据具体情况在pip中执行。

3.3 操作步骤

以下是一个简单的示例，展示如何使用 Foolbox 来测试神经网络的对抗鲁棒性：

import foolbox
import torch
import torchvision.models as models

# 加载预训练的模型
model = models.resnet18(pretrained=True).eval()
preprocessing = dict(mean=[0.485, 0.456, 0.406], std=[0.229, 0.224, 0.225], axis=-3)
fmodel = foolbox.models.PyTorchModel(model, bounds=(0, 1), preprocessing=preprocessing)

# 加载测试数据
test_dataset = torchvision.datasets.CIFAR10(root='./data', train=False,
                                            download=True, transform=transforms.ToTensor())
test_loader = torch.utils.data.DataLoader(test_dataset, batch_size=1, shuffle=False)

# 选择攻击方法
attack = foolbox.attacks.FGSM(fmodel)

# 进行攻击测试
success_count = 0
total_count = 0
for data, target in test_loader:
    total_count += 1
    adversarial = attack(data.numpy(), target.numpy())
    if adversarial is not None:
        success_count += 1

# 计算攻击成功率
success_rate = success_count / total_count
print(f"攻击成功率: {success_rate}")

3.4 工作原理

首先加载预训练的神经网络模型，并使用 Foolbox 将其封装成可用于攻击的模型。然后加载测试数据集，选择一种攻击方法（如FGSM）。对测试数据集中的每个样本进行攻击，如果攻击成功（即生成了能使模型预测错误的对抗样本），则记录成功次数。最后计算攻击成功率，该成功率可以反映模型的对抗鲁棒性。

4. 使用TensorFlow Privacy进行差分隐私

4.1 原理与概念

差分隐私是一种用于保护数据隐私的技术，它通过在数据中添加噪声来模糊个体信息，从而在保证数据分析结果准确性的同时，保护数据中个体的隐私。TensorFlow Privacy是一个用于实现差分隐私的库，它提供了一些工具和算法，帮助我们在机器学习模型的训练过程中应用差分隐私。

4.2 准备工作

安装 TensorFlow Privacy 库，安装命令如下：

pip install tensorflow_privacy

4.3 操作步骤

以下是一个使用TensorFlow Privacy进行差分隐私训练的示例：

import tensorflow as tf
from tensorflow_privacy.privacy.optimizers.dp_optimizer_keras import DPKerasSGDOptimizer

# 加载数据集
(x_train, y_train), (x_test, y_test) = tf.keras.datasets.mnist.load_data()
x_train = x_train.reshape(-1, 784).astype('float32') / 255
x_test = x_test.reshape(-1, 784).astype('float32') / 255

# 定义模型
model = tf.keras.Sequential([
    tf.keras.layers.Dense(128, activation='relu', input_shape=(784,)),
    tf.keras.layers.Dense(10, activation='softmax')
])

# 定义差分隐私优化器
dp_optimizer = DPKerasSGDOptimizer(
    l2_norm_clip=1.0,
    noise_multiplier=1.1,
    num_microbatches=256,
    learning_rate=0.001
)

# 编译模型
model.compile(optimizer=dp_optimizer,
              loss='sparse_categorical_crossentropy',
              metrics=['accuracy'])

# 训练模型
model.fit(x_train, y_train, epochs=10, batch_size=256)

# 评估模型
_, accuracy = model.evaluate(x_test, y_test)
print(f"模型准确率: {accuracy}")

4.4 工作原理

首先加载数据集并进行预处理。然后定义一个简单的神经网络模型。使用 DPKerasSGDOptimizer 作为优化器，该优化器在训练过程中会添加噪声以实现差分隐私。在编译模型时，使用该优化器和相应的损失函数。最后进行模型训练和评估，通过添加噪声，模型在训练过程中会保护数据中个体的隐私，同时仍能保持一定的准确率。

技术对比表格（续）

技术名称	应用场景	关键步骤	优点
测试神经网络的对抗鲁棒性	评估神经网络在对抗样本攻击下的稳定性	加载模型、选择攻击方法、进行攻击测试	提高模型的安全性，发现潜在漏洞
使用TensorFlow Privacy进行差分隐私	在机器学习模型训练中保护数据隐私	安装库、定义模型、使用差分隐私优化器训练模型	保护数据中个体的隐私，在隐私和准确性之间取得平衡

测试神经网络对抗鲁棒性流程mermaid流程图

graph LR
    A[加载预训练模型] --> B[加载测试数据]
    B --> C[选择攻击方法]
    C --> D[进行攻击测试]
    D --> E[计算攻击成功率]

差分隐私训练流程mermaid流程图

graph LR
    A[加载数据集并预处理] --> B[定义模型]
    B --> C[定义差分隐私优化器]
    C --> D[编译模型]
    D --> E[训练模型]
    E --> F[评估模型]

总结与展望

本文介绍了多种与机器学习数据安全和隐私相关的技术，包括HIPAA数据泄露的探索与可视化、联邦学习、加密计算、隐私深度学习预测、测试神经网络的对抗鲁棒性以及使用TensorFlow Privacy进行差分隐私等。这些技术各有其应用场景和优势，在不同的情况下可以帮助我们实现数据安全和隐私保护的目标。

在未来，随着数据隐私法规的不断完善和人们对数据安全的关注度不断提高，这些技术将有更广泛的应用。同时，我们也需要不断探索和研究新的方法和技术，以应对日益复杂的安全挑战。例如，进一步提高联邦学习的效率和性能，开发更强大的加密算法，以及增强神经网络的对抗鲁棒性等。通过不断的努力，我们可以在享受机器学习带来的便利的同时，更好地保护数据的安全和隐私。

综合技术对比表格

技术类别	具体技术	应用场景	关键步骤	优点
数据探索与可视化	HIPAA数据泄露探索与可视化	分析HIPAA数据泄露情况	加载数据、数据清理、绘制图表、提取关键词	发现数据模式和关联，辅助决策
安全与隐私AI	联邦学习	保护数据隐私，多数据源训练模型	数据分割、预处理、定义模型和损失函数、联邦平均	保护隐私和所有权，可用于多源数据训练
安全与隐私AI	加密计算	对加密数据进行计算	选择质数、加密、解密、加密加法	加密状态下计算，保护隐私
安全与隐私AI	隐私深度学习预测	客户使用加密模型在私有数据上预测	导入库、定义模型、加密模型和数据、预测和解密	保护模型产权和客户数据隐私
模型安全性	测试神经网络的对抗鲁棒性	评估神经网络对抗攻击稳定性	加载模型、选择攻击方法、攻击测试	提高模型安全性，发现漏洞
数据隐私保护	使用TensorFlow Privacy进行差分隐私	机器学习模型训练中保护数据隐私	安装库、定义模型、差分隐私优化器训练	保护个体隐私，平衡隐私与准确性