在讨论面向隐私保护的机器学习(PPML)的细节之前,我们首先要厘清PPML和安全机器学习(Secure ML)的区别。这二者的区别主要是在于它们被设计用来应对不同类型的安全威胁 [81] 。在安全机器学习中,敌手(抑或攻击者)被假设违反了机器学习系统的完整性和可用性。而在PPML中,敌手被假设违反了机器学习系统的隐私性和机密性。
有时安全方面的危机是由第三方故意攻击造成的。我们关注机器学习中的三种主要攻击类型。
1.完整性(Integrity)
对完整性的攻击可能导致机器学习系统会出现检测错误,例如可能会将入侵点检测为正常(假阴性)。
2.可用性(Availability)
对可用性的攻击可能导致系统会出现分类错误(假阴性和假阳性),即系统会变成不可用的。这是比完整性攻击更宽泛的一种攻击类型。
3.机密性(Confidentiality)
对机密性的攻击可能导致一些机器学习系统中的敏感信息(如训练数据或训练模型)会出现泄露。
表2-1给出了PPML和安全机器学习在安全威胁、攻击模式和防御方法上的比较。
表2-1 PPML和安全机器学习的比较。
本章主要着眼于PPML以及机器学习中应对隐私和机密性侵犯的防御技术。感兴趣的读者可以参阅文献[81]获取关于安全机器学习更详细的论述。