Украсть изображение: новый способ кражи медицинских данных

от

Автор: Денис Аветисян

Исследователи продемонстрировали, как с помощью манипуляций с алгоритмами сжатия изображений можно незаметно извлечь конфиденциальные медицинские данные из хранилищ.

"Покупай на слухах, продавай на новостях". А потом сиди с акциями никому не известной биотех-компании. Здесь мы про скучный, но рабочий фундаментал.

Бесплатный Телеграм канал
Атака сжатием позволяет незаметно выкрасть данные, используя манипуляции с алгоритмами компрессии для сокрытия эксфильтрации информации.
Атака сжатием позволяет незаметно выкрасть данные, используя манипуляции с алгоритмами компрессии для сокрытия эксфильтрации информации.

В статье представлена новая атака по эксфильтрации данных, использующая обученные алгоритмы сжатия медицинских изображений, и оцениваются стратегии смягчения последствий, такие как тонкая настройка моделей.

Несмотря на растущую популярность хранилищ данных для медицинских изображений и алгоритмов искусственного интеллекта, остается неясным, насколько безопасен экспорт моделей машинного обучения из этих хранилищ. В работе ‘Data Exfiltration by Compression Attack: Definition and Evaluation on Medical Image Data’ предложен новый метод утечки данных, основанный на использовании алгоритмов сжатия изображений, позволяющий извлекать конфиденциальную информацию из экспортируемых моделей глубокого обучения. Исследование демонстрирует, что предложенная атака, не требующая дополнительных данных во время обучения, способна эффективно восстанавливать медицинские изображения за пределами хранилища данных с высокой точностью. Какие меры защиты позволят эффективно предотвратить утечку данных, не ограничивая при этом возможности использования моделей машинного обучения в медицинских приложениях?

Скрытая Угроза в Океанах Данных

Современные озера данных, такие как Медицинское озеро данных, становятся все более привлекательной целью для злоумышленников, стремящихся к несанкционированному извлечению конфиденциальной информации. Растущий объем хранимых в них персональных медицинских записей, геномных данных и другой чувствительной информации делает их особенно ценными для киберпреступников. Увеличение числа атак, направленных на эти хранилища, связано с тем, что озера данных часто содержат неструктурированные и слабо защищенные данные, что создает благоприятную среду для эксплуатации уязвимостей. В связи с этим, организации, использующие озера данных, должны уделять повышенное внимание мерам безопасности и контроля доступа, чтобы предотвратить утечку конфиденциальной информации и обеспечить соответствие нормативным требованиям.

Современные системы защиты информации зачастую не успевают за развитием сложных конвейеров машинного обучения, что создает новые уязвимости в хранилищах данных. Традиционные методы, ориентированные на периметр и контроль доступа к файлам, оказываются неэффективными против атак, использующих особенности работы алгоритмов. Например, злоумышленники могут внедрить вредоносный код в процесс обучения модели, что позволит им незаметно извлекать конфиденциальную информацию из обрабатываемых данных или манипулировать результатами анализа. Особенно уязвимы системы, использующие федеративное обучение или другие методы, предполагающие совместную работу с внешними источниками данных, поскольку контроль над целостностью данных и моделей в таких сценариях существенно снижается. Таким образом, для обеспечения надежной защиты данных в современных хранилищах необходимо внедрять специализированные методы обнаружения и предотвращения атак, учитывающие особенности работы конвейеров машинного обучения и использующие поведенческий анализ, а также методы защиты самих моделей от манипуляций.

Широкое распространение методов сжатия изображений, несмотря на их эффективность в хранении и передаче данных, создает новые возможности для скрытого извлечения конфиденциальной информации. Современные алгоритмы, такие как JPEG и WebP, при сжатии изображений допускают незначительные потери данных, которые, будучи тщательно контролируемыми, могут быть использованы для кодирования скрытых сообщений или извлечения фрагментов информации. Исследования показывают, что злоумышленники способны манипулировать параметрами сжатия, внедряя в данные изображения незаметные для человеческого глаза изменения, несущие закодированную информацию. Этот подход, известный как стеганография, позволяет скрывать данные непосредственно в визуальном контенте, обходя традиционные системы обнаружения утечек данных и представляя серьезную угрозу для безопасности информации в современных хранилищах данных, включая медицинские озера данных.

Атака с использованием потерь при сжатии в сценарии внешней предварительной тренировки предполагает обучение кодировщика-декодировщика на внешнем наборе данных, последующее сжатие целевых данных кодировщиком в пределах хранилища данных, маскировку поведения атаки с помощью вспомогательной сети и, в конечном итоге, извлечение сжатых данных злоумышленником для восстановления украденного набора данных вне хранилища.
Атака с использованием потерь при сжатии в сценарии внешней предварительной тренировки предполагает обучение кодировщика-декодировщика на внешнем наборе данных, последующее сжатие целевых данных кодировщиком в пределах хранилища данных, маскировку поведения атаки с помощью вспомогательной сети и, в конечном итоге, извлечение сжатых данных злоумышленником для восстановления украденного набора данных вне хранилища.

Механизм Эксфильтрации: Искусство Сжатия

Атака кражи данных (Data Exfiltration Attack) использует особенности алгоритмов потери данных (Lossy Compression), применяемых в процессе экспорта моделей машинного обучения. Эти алгоритмы, предназначенные для уменьшения размера данных за счет отбрасывания части информации, могут быть использованы злоумышленниками для кодирования и скрытой передачи конфиденциальных данных. Суть атаки заключается в манипулировании входными данными таким образом, чтобы закодированная информация влияла на процесс сжатия и, следовательно, на результирующие сжатые данные. Далее, злоумышленник, имея доступ к сжатым данным, может восстановить скрытую информацию, используя обратный процесс — декодирование сжатых данных. Эффективность атаки зависит от конкретного используемого алгоритма сжатия и степени его потери данных.

Атакующие могут внедрять конфиденциальную информацию в сжатые изображения, манипулируя входными данными таким образом, чтобы она была закодирована в скрытых переменных после применения алгоритма сжатия с потерями. Этот процесс использует чувствительность закодированных переменных к незначительным изменениям входных данных. Путем точного контроля этих изменений, атакующий может сформировать определенные паттерны в закодированных переменных, которые представляют собой закодированное сообщение. Объем передаваемой информации ограничен пропускной способностью и структурой закодированных переменных, однако позволяет осуществить скрытую передачу данных.

Атакующий восстанавливает закодированные данные из декодированных латентных переменных, что позволяет ему фактически похитить информацию. После экспорта сжатой модели и получения латентного представления, злоумышленник может извлечь внедренные данные, используя известные алгоритмы декодирования. Процесс восстановления подразумевает обратное преобразование латентных переменных в исходный формат, при этом внедренные данные сохраняются и могут быть использованы атакующим. Эффективность данного метода зависит от степени сжатия и специфики используемого алгоритма, но позволяет передавать конфиденциальную информацию, маскируя её под обычные данные модели.

Для повышения скрытности извлеченных данных злоумышленники могут использовать методы стенографии. Стенография предполагает встраивание конфиденциальной информации в незначимые биты или области данных, не вызывая видимых изменений в структуре файла или изображения. Это позволяет скрыть факт передачи данных, поскольку изменения, вносимые стенографией, обычно не обнаруживаются стандартными методами анализа или антивирусным программным обеспечением. Различные алгоритмы стенографии могут использоваться для встраивания данных в различные форматы файлов, включая изображения и аудио, что затрудняет обнаружение и извлечение скрытой информации без специализированных инструментов и знаний.

Атака с использованием сжатия с потерями внутри обучающей системы позволяет злоумышленнику скрыть вредоносный код в процессе сжатия данных и вынести его за пределы системы для последующей декомпрессии и использования.
Атака с использованием сжатия с потерями внутри обучающей системы позволяет злоумышленнику скрыть вредоносный код в процессе сжатия данных и вынести его за пределы системы для последующей декомпрессии и использования.

Обход Защиты: Перспектива Злоумышленника

Злоумышленник, имеющий удаленный доступ к системе (Remote User), может инициировать атаку, маскируя ее под выполнение обыденной служебной задачи (Utility Task). Это достигается путем использования легитимного процесса для осуществления скрытой передачи данных. Атакующий использует возможности существующей инфраструктуры, что позволяет ему оставаться незамеченным, поскольку действия маскируются под нормальную системную активность. Вместо создания новых, подозрительных процессов, злоумышленник эксплуатирует уже существующие, снижая вероятность обнаружения со стороны систем мониторинга и безопасности.

Атака спроектирована таким образом, чтобы обходить стандартные системы обнаружения вторжений (IDS) за счет использования скрытого канала передачи данных. В отличие от явных атак, использующих известные сигнатуры или шаблоны сетевого трафика, данная методика маскирует передачу данных внутри легитимных, кажущихся безобидными, задач. IDS, ориентированные на выявление аномалий в сетевом трафике или известных вредоносных программах, могут не распознать скрытую передачу данных, поскольку она не проявляет характеристик типичной эксфильтрации данных. Это достигается за счет использования тонких изменений в структуре передаваемых данных, которые не являются заметными для стандартных алгоритмов анализа трафика, что позволяет злоумышленнику незаметно извлекать конфиденциальную информацию.

В отличие от атак, основанных на восстановлении обучающих данных, таких как `Model Inversion Attack` или `Transpose Attack`, рассматриваемый метод не предполагает прямого воссоздания исходного набора данных. Вместо этого, злоумышленник использует сжатие для скрытой передачи информации, что значительно усложняет обнаружение атаки традиционными методами анализа, ориентированными на выявление утечки конфиденциальных данных через реконструкцию обучающей выборки. Отсутствие прямой реконструкции данных делает этот подход менее заметным для систем обнаружения вторжений, настроенных на поиск паттернов, характерных для атак восстановления данных.

Существующие технологии защиты приватности, такие как дифференциальная приватность, неэффективны против данной схемы эксфильтрации данных, основанной на сжатии. Дифференциальная приватность направлена на добавление шума в данные или результаты запросов, чтобы скрыть информацию об отдельных записях, но не учитывает утечку информации, заложенную в структуре сжатых данных. Атакующий может манипулировать входными данными таким образом, чтобы сжатие приводило к предсказуемым изменениям в размере или структуре сжатого файла, кодируя таким образом конфиденциальную информацию без прямого раскрытия самих данных. Поскольку эксфильтрация происходит косвенно, через параметры сжатия, стандартные механизмы защиты, основанные на маскировке или рандомизации данных, оказываются неэффективными. Таким образом, для противодействия данной атаке требуются специализированные методы обнаружения аномалий в процессе сжатия и анализа характеристик сжатых данных.

Применение дифференциальной приватности снижает уязвимость КТ- и МРТ-изображений к атакам на основе сжатия с потерями, даже при варьировании уровня шума в декодере и кодах сжатия.
Применение дифференциальной приватности снижает уязвимость КТ- и МРТ-изображений к атакам на основе сжатия с потерями, даже при варьировании уровня шума в декодере и кодах сжатия.

Обеспечение Безопасности: К Надежным Океанам Данных

Владелец данных должен внедрить всестороннюю стратегию безопасности, охватывающую аудит моделей и проверку входных данных. Аудит предполагает систематическую оценку моделей машинного обучения на предмет уязвимостей и отклонений от ожидаемого поведения, выявляя потенциальные возможности для несанкционированного доступа или манипуляций. Одновременно, строгая проверка входных данных позволяет предотвратить внедрение вредоносного кода или неверных данных, которые могут скомпрометировать целостность системы. Реализация этих мер требует постоянного мониторинга и адаптации к новым угрозам, а также тесного сотрудничества между специалистами по безопасности и разработчиками моделей. В конечном итоге, комплексный подход к безопасности данных, включающий аудит и валидацию, является необходимым условием для защиты конфиденциальной информации и обеспечения надежной работы системы.

Использование методов тонкой настройки моделей, или fine-tuning, в сочетании с пристальным вниманием к поведению функции потерь, представляет собой эффективный подход к обнаружению аномалий в данных. Тонкая настройка позволяет адаптировать предварительно обученную модель к конкретному набору данных, выявляя отклонения от ожидаемого поведения. В процессе обучения, внимательное отслеживание функции потерь — показателя ошибки модели — позволяет оперативно заметить резкие изменения или нетипичные колебания, которые могут указывать на аномальные данные или попытки несанкционированного доступа. В частности, неожиданное увеличение или нестабильность функции потерь может сигнализировать о том, что модель столкнулась с данными, существенно отличающимися от обучающей выборки, или о преднамеренной манипуляции входными данными. Таким образом, сочетание тонкой настройки и мониторинга $Loss Function$ формирует надежный механизм выявления и предотвращения аномалий в системе обработки данных.

Применение алгоритмов сжатия данных, минимизирующих утечку информации, становится критически важным аспектом обеспечения безопасности современных хранилищ данных. Традиционные подходы, такие как HiFiC Model, могут быть уязвимы к атакам, направленным на извлечение конфиденциальной информации через анализ сжатых данных. Исследования показывают, что оптимизация алгоритмов сжатия с учетом принципов дифференциальной приватности и использование более сложных методов, чем стандартные, способны значительно снизить риски. В частности, перспективным направлением является разработка алгоритмов, которые намеренно вносят контролируемый шум в процесс сжатия, затрудняя реконструкцию исходных данных без ущерба для функциональности. Оценка эффективности таких алгоритмов требует комплексного анализа компромисса между степенью сжатия, объемом утечки информации и вычислительными затратами.

Необходимость разработки надежных средств защиты от атак, основанных на компрессии данных, становится все более актуальной, особенно в сферах, где конфиденциальность информации имеет первостепенное значение. Исследования в этой области должны быть направлены на выявление и нейтрализацию уязвимостей, возникающих при использовании алгоритмов сжатия для скрытой передачи данных. Важно учитывать, что стандартные методы обнаружения вторжений могут оказаться неэффективными против атак, маскирующихся под легитимный процесс компрессии. Перспективными направлениями представляются разработка новых метрик для анализа сжатых данных, позволяющих выявлять аномалии, а также создание систем, способных обнаруживать и блокировать несанкционированную передачу данных, осуществляемую посредством компрессии. Особое внимание следует уделить защите от атак, направленных на извлечение информации из сжатых файлов, даже если исходные данные зашифрованы.

Для предотвращения утечки данных при дообучении модели владелец данных реализует стратегию, включающую сбор исходного кода и функций потерь, проверку соответствия функций потерь поставленным задачам, дообучение модели до значительного изменения параметров и последующую проверку изменения всех параметров, при выявлении неизменных параметров выдается оповещение.
Для предотвращения утечки данных при дообучении модели владелец данных реализует стратегию, включающую сбор исходного кода и функций потерь, проверку соответствия функций потерь поставленным задачам, дообучение модели до значительного изменения параметров и последующую проверку изменения всех параметров, при выявлении неизменных параметров выдается оповещение.

Исследование демонстрирует, что даже кажущиеся безопасными методы, такие как сжатие изображений, могут стать векторами утечки конфиденциальных данных. В контексте медицинских изображений, где приватность пациента критически важна, данная уязвимость особенно опасна. Как отмечал Роберт Таржан: «Чтобы понять структуру данных, нужно уметь её разрушать». Это высказывание перекликается с подходом, представленным в статье, где авторы, по сути, «разрушают» процесс сжатия, чтобы выявить скрытые каналы утечки информации. Анализ показывает, что понимание внутренних механизмов систем позволяет не только защитить их, но и найти способы обойти защиту, подтверждая идею о том, что взлом системы — это глубокое понимание её устройства.

Куда же это всё ведёт?

Представленная работа выявляет неожиданную уязвимость в, казалось бы, хорошо изученном пространстве сжатия изображений. Утверждение о том, что данные можно извлечь, используя алгоритмы, предназначенные для их уменьшения, выглядит парадоксально, но в то же время логично. Это — признание слабости системы, не в коде, а в самой концепции представления информации. Очевидно, что необходимо углубить исследования в области устойчивости моделей сжатия к подобным атакам, а также разработать более надежные методы защиты, не ограничивающие полезность данных.

Особый интерес представляет вопрос о границах применимости дифференциальной приватности в контексте сжатия. Простое добавление шума может оказаться недостаточным, если злоумышленник умело манипулирует параметрами сжатия. Необходимо исследовать, возможно ли построить системы, которые одновременно обеспечивают высокую степень сжатия и гарантированную конфиденциальность, не прибегая к чрезмерному снижению качества изображения. В конце концов, любой алгоритм — это лишь приближение к реальности, и в этих приближениях всегда найдется лазейка.

Будущие исследования должны быть направлены на разработку методов обнаружения атак, основанных на анализе параметров сжатия и структуры полученных изображений. Важно понять, какие признаки указывают на то, что данные были скомпрометированы. В конечном счете, истинное решение заключается не в устранении всех уязвимостей, а в создании систем, способных к самодиагностике и адаптации к новым угрозам. Иначе говоря, система должна учиться на собственных ошибках.

Оригинал статьи: https://arxiv.org/pdf/2511.21227.pdf

Связаться с автором: https://www.linkedin.com/in/avetisyan/

Смотрите также:

2025-11-30 11:46