Property Inference Attacks with Fully-Connected Neural Networks in a Multi-class Setting

Abstract

Maschinelle Lernmodelle (ML) werden zunehmend in verschiedenen Bereichen eingesetzt und erfordern oft große, repräsentative Datensätze für eine effektive Erstellung. Die Weitergabe oder Kommerzialisierung vortrainierter Modelle birgt jedoch Datenschutzrisiken, insbesondere durch sogenannte "Property Inference Attacks". Diese Angriffe zielen darauf ab, globale Merkmale des Trainingsdatensatzes zu extrahieren, ohne auf einzelne Trainingsinstanzen zugreifen zu müssen. Während sich bisherige Forschung weitgehend auf binäre Property Inference Angriffe konzentriert, erweitert diese Arbeit den Angriff auf einen Multi-Klassen-Ansatz. Diese Arbeit untersucht die Anfälligkeit von fully-connected, feed-forward neuronalen Netzwerken gegenüber Multi-Klassen-Property-Inference-Angriffen. Dabei wird ein meta-maschinelles Lernmodell, das ursprünglich für binäre Angriffe entwickelt wurde, auf den Multi-Klassen-Fall angepasst. Zudem wird überprüft, ob eine hierarchische Klassifikationsstrategie die Angriffseffektivität verbessern kann. Darüber hinaus wird das Risiko von Property Inference Angriffe im Kontext des sequentiellen föderierten Lernens analysiert, in dem mehrere Teilnehmer gemeinsam ein Modell trainieren, ohne ihre Daten direkt zu teilen. Die Experimente untersuchen die Effektivität von Multi-Klassen-Property-Inference-Angriffen in Abhängigkeit von der Klassengranularität und verschiedenen Loss-Funktionen. Die Ergebnisse verdeutlichen die Zusammenhänge zwischen Vorhersagegenauigkeit und Granularität und unterstreichen die Notwendigkeit robuster Datenschutzmaßnahmen, insbesondere im föderierten Lernen, um Property Inference Attacks zu verhindern und sensible Daten zu schützen.

Machine learning (ML) models are increasingly used in various domains, often requiring large, representative datasets for effective training. Consequently, pre-trained models are frequently shared or commercialized, raising concerns regarding potential privacy breaches. Among these threats are property inference attacks, which aim to extract global characteristics of the training dataset without accessing individual records. While prior research has largely focused on binary property inference attacks, this thesis extends the attack to a multi-class setting, allowing a more detailed analysis of dataset characteristics. This work investigates the vulnerability of fully connected, feed-forward neural networks to multi-class property inference attacks. The research explores the effectiveness of these attacks by adapting a meta-machine learning approach, originally designed for binary property inference, into a multi-class setting. Furthermore, it examines whether a hierarchical classification strategy can improve attack performance. The study also considers property inference risks in sequential federated learning scenarios, where multiple participants collaboratively train a model while maintaining data privacy. The conducted experiments assess the accuracy of multi-class property inference attacks across varying class granularities and different loss functions. The findings provide insights into the trade-off between granularity and attack accuracy, highlighting risks associated with sharing machine learning models. The results emphasize the need for stronger privacy-preserving techniques, particularly in federated learning settings, to mitigate property inference attacks and safeguard sensitive data.