1. Session 4 : Security II 担当:渡辺知恵美(お茶の水女子大学) 【SIGMOD2009勉強会】 Session 4 : Security II 担当:渡辺(お茶大) 1
2. Attacks on Privacy and deFinetti’s Theorem 2 Daniel Kifer(Penn State University) プライバシ保護Publication手法の1つであるAnatomyがdeFinetti’s理論を用いたプライベート情報の推論に脆弱であることを指摘し検証した プライバシ保護Publication データを公開する際にプライバシ情報が推測されないように無毒化(Sanitize)して公開する k匿名性を考慮した 無毒化(k=4) l多様性,t近似性などの指標がある sensitive data quasi-identifier Session 4 : Security II 担当:渡辺(お茶大)
10. Privacy Preserving of Aggregates in Hidden Databases: Why and How? Session 4 : Security II 担当:渡辺(お茶大) 10 A. Dasgupta(UT Arlington), N. Zhang(George Wash), G. Das(UT Arlington), and S. Chaudhuri(Microsoft) Hidden Databaseによってテーブル全体の集約演算による情報は知られたくない場合がある 車のディーラのWebページから全車の所有数を他者に知られたくない 飛行機の予約システムで空席率を知られたくない Q hidden DB A Top-k Results Top-k Results Top-k Results 対処方法 ダミータプルを混在してサンプリングアタックを防ぐ COUNTER-SAMPLERアルゴリズムを提案
11. サンプリングアタックと防御の方針 Session 4 : Security II 担当:渡辺(お茶大) Webフォームでの検索 大抵1回の結果がtop-k個までで制限 実行できる問合せ数も制限 サンプリングアタック[Dasgupta, et.al, ICDE2009など] 妥当な問合せ(結果が1以上k以内)をサンプルとして集め、それを元に集約演算の結果を推測 攻撃方針:問合せを試しながらactive spaceを狭めていく 全データをクロールするのは難しい overflows : k個以上の結果が得られる universal space Ω すべての可能な検索条件 underflows : 1つも結果が見つからない valid : 1つ以上k個以下の結果が見つかる active space Θ 妥当な問合せを含む 検索条件 防御方針: 絞り込みがしにくくなるようにダミータプル を混ぜ実行する問合せ数を多くさせる 11
12. COUNTER-SAMPLER Session 4 : Security II 担当:渡辺(お茶大) 12 簡単のため属性値はブール値として考える 1個のサンプルを見つけるための方法と防御 例)SELECT * FROM D WHERE a1=1を試す 複数のサンプルを見つけるための方法と防御 各回用の絞込み空間(ΘF)とトータルの絞込み空間(ΘE) 1この時との違い->validのときΘEから¬Qcの条件が含まれているもの以外を消す&overflowsのときQcを含んでいる条件をのみを残すのはΘFのみでΘEはいじらない 一般化->条件QcをもちいてSELECT * FROM D WHERE Qcを試す overflows :a1=1を含んでいる条件のみをΘに残す overflows :Qcを含んでいる条件のみをΘに残す(|Θ|/3c残す) underflows : 属性a1を使っている条件をΘから外す underflows : Qcを含んでいる条件をΘから外す((c+1)・3n-c個消す) valid : 見つかったので終わり valid : 見つかったので終わり b-Neighbor Insertion: short valid(条件数がb以下)になるところをノイズを混ぜてoverflowsになるようにしてしまう universal space Ω すべての可能な検索条件 essential space ΘE d-High-Level Packing: short underflow(条件数がd以下)になる結果にノイズを混ぜてoverflowsになるようにしてしまう focused space ΘF
13. 拡張&実験 Session 4 : Security II 担当:渡辺(お茶大) 13 カテゴリ属性や数値属性に対応 d (for neighbor insertion)->Cd= b (for high-level packing)->Cb= 実験