• IT-Karriere:
  • Services:

Deep Learning: Trainierte Modelle verraten private Informationen

Angreifer können aus bereits trainierten Deep-Learning-Modellen private und sicherheitskritische Informationen extrahieren. Das funktioniert besonders gut mit kurzem Text, zeigt eine Forschungsarbeit der UC Berkeley.

Artikel veröffentlicht am ,
Speichert ein Modell Kreditkartendaten, können diese von Angreifern extrahiert werden.
Speichert ein Modell Kreditkartendaten, können diese von Angreifern extrahiert werden. (Bild: frankieleon, flickr.com/CC-BY 2.0)

In der Vergangenheit haben unterschiedliche Angriffe auf maschinelles Lernen unter anderem über die Manipulation der Trainingsdaten oder des Trainings selbst funktioniert. Ein Team aus Forschern der UC Berkeley und weiteren Wissenschaftlern, etwa von Google Brain, zeigen nun, dass sich auch bereits trainierte Modelle für Angriffe eignen können und dies etwa genutzt werden kann, um private Informationen zu extrahieren.

Stellenmarkt
  1. SIZ GmbH, Bonn
  2. Salzgitter Mannesmann Handel GmbH, Düsseldorf

Möglich ist das über einen von dem Team beobachteten Prozess, den sie als "unintended memorization" bezeichnen. Das heißt, das Modell merkt sich bestimmte spezifische Informationen, ohne dass das von den Erstellern der Modelle beim Training beabsichtigt gewesen ist. Der Hauptautor der Untersuchung, Nicholas Carlini, sagte dem britischen Magazin The Register dazu, dass das Team "bis jetzt nicht wirklich weiß, warum neuronale Netzwerke sich diese Geheimnisse merken".

Es könne letztlich aber daran liegen, dass bestimmte Modelle dann besonders gut funktionieren, wenn deren Training mit sich oft wiederholenden Daten durchgeführt wird. Und das machen sich die Forscher in ihrer Arbeit zunutze, indem für einen Angriff gezielt nach eben diesen Informationen gesucht wird. Hilfreich sei hier auch, dass trainierte Modelle mit bekannten Daten sicherer Ergebnisse produzieren als mit unbekannten Eingabedaten zur Anwendung des Modells, so die Forscher.

Gleichförmige Daten helfen Angreifern

Für die Forschungsarbeit hat das Team zunächst selbst Modelle trainiert, etwa auf Grundlage des Enron-Corpus, in dessen unredigierter Fassung private Daten wie Kreditkartendaten oder Sozialversicherungsnummern enthalten sind. Aufbauend auf der beschriebenen Idee sind dann verschiedene Suchalgorithmen entstanden und genutzt worden, um diese Informationen bei einem sogenannten Black-Box-Zugriff herauszufiltern.

Dem Team ist es so gelungen, in unter einer Stunde drei private Datensätze zu extrahieren. Besonders nützlich für das von dem Team beschriebene Vorgehen ist dabei, dass die Kreditkarten- und Sozialversicherungsnummern einem bestimmten, relativ einfachen Muster folgen und vergleichsweise kurz sind. Damit dies funktioniert, müssten mit dem Modell darüber hinaus möglichst viele Ausgaben beobachtet werden können, sagte der Forscher Carlini zu The Register.

Schwierig bis unmöglich sei der beschriebene Angriff jedoch bei anderen Daten mit deutlich größerer Entropie, was zum Beispiel bei Bildern der Fall ist. Als Vorkehrungen gegen die gezeigten Angriffsmöglichkeiten empfiehlt das Team, private Daten nicht zu erheben oder zumindest vor dem Training zu entfernen, was aber nicht immer möglich und auch nicht immer zuverlässig sei. Das Konzept Differential Privacy helfe aber gut gegen die gezeigten Angriffe.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 109€ (auch bei Saturn & Media Markt)
  2. 249€ (Vergleichspreis 277,99€)

Bruto 03. Mär 2018

Naja, beim Großhändler deiner Wahl. Und der haut erst mal alle Daten die er hat in sein...

Kleba 03. Mär 2018

Naja, ich finde es schon in Ordnung. Manche News sind halt tatsächlich nur ein...


Folgen Sie uns
       


Motorola Razr (2019) - Hands on

Das neue Motorola Razr lässt sich wie das alte Razr V3 zusammenklappen - das Display ist allerdings faltbar und geht über die gesamte Innenfläche des Smartphones.

Motorola Razr (2019) - Hands on Video aufrufen
    •  /