論文の概要: MAZE: Data-Free Model Stealing Attack Using Zeroth-Order Gradient Estimation

• arxiv url: http://arxiv.org/abs/2005.03161v2
• Date: Fri, 28 Oct 2022 21:08:42 GMT
• ステータス: 処理完了
• システム内更新日: 2022-12-06 05:06:45.987200
• Title: MAZE: Data-Free Model Stealing Attack Using Zeroth-Order Gradient Estimation
• Title（参考訳）: MAZE:ゼロ階勾配推定を用いたデータフリーモデルステアリング攻撃
• Authors: Sanjay Kariyappa, Atul Prakash, Moinuddin Qureshi
• Abstract要約: モデルステアリング(MS)攻撃により、機械学習モデルへのブラックボックスアクセスを持つ敵が機能を複製し、モデルの機密性を損なうことができる。 本稿では,ゼロ階勾配推定を用いたデータフリーモデル盗難攻撃法MAZEを提案する。 以前の研究とは対照的に、MAZEはいかなるデータも必要とせず、生成モデルを用いて合成データを生成する。
• 参考スコア（独自算出の注目度）: 14.544507965617582
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Model Stealing (MS) attacks allow an adversary with black-box access to a Machine Learning model to replicate its functionality, compromising the confidentiality of the model. Such attacks train a clone model by using the predictions of the target model for different inputs. The effectiveness of such attacks relies heavily on the availability of data necessary to query the target model. Existing attacks either assume partial access to the dataset of the target model or availability of an alternate dataset with semantic similarities. This paper proposes MAZE -- a data-free model stealing attack using zeroth-order gradient estimation. In contrast to prior works, MAZE does not require any data and instead creates synthetic data using a generative model. Inspired by recent works in data-free Knowledge Distillation (KD), we train the generative model using a disagreement objective to produce inputs that maximize disagreement between the clone and the target model. However, unlike the white-box setting of KD, where the gradient information is available, training a generator for model stealing requires performing black-box optimization, as it involves accessing the target model under attack. MAZE relies on zeroth-order gradient estimation to perform this optimization and enables a highly accurate MS attack. Our evaluation with four datasets shows that MAZE provides a normalized clone accuracy in the range of 0.91x to 0.99x, and outperforms even the recent attacks that rely on partial data (JBDA, clone accuracy 0.13x to 0.69x) and surrogate data (KnockoffNets, clone accuracy 0.52x to 0.97x). We also study an extension of MAZE in the partial-data setting and develop MAZE-PD, which generates synthetic data closer to the target distribution. MAZE-PD further improves the clone accuracy (0.97x to 1.0x) and reduces the query required for the attack by 2x-24x.
• Abstract（参考訳）: モデルステアリング(MS)攻撃により、機械学習モデルへのブラックボックスアクセスを持つ敵が機能を複製し、モデルの機密性を損なうことができる。 このような攻撃は、異なる入力に対するターゲットモデルの予測を用いてクローンモデルを訓練する。 このような攻撃の有効性は、ターゲットモデルへの問い合わせに必要なデータの可用性に大きく依存します。 既存の攻撃では、ターゲットモデルのデータセットに部分的にアクセスするか、セマンティックな類似性を持った代替データセットが利用可能になる。 本稿では,ゼロ階勾配推定を用いたデータフリーモデル盗難攻撃手法MAZEを提案する。 以前の研究とは対照的に、MAZEはいかなるデータも必要とせず、生成モデルを用いて合成データを生成する。 データフリーな知識蒸留(KD)における最近の研究に触発されて、我々は、クローンとターゲットモデルとの相違を最大化する入力を生成するために、不一致の目的を用いて生成モデルを訓練する。 しかしながら、グラデーション情報が利用可能なkdのホワイトボックス設定とは異なり、モデル盗用のためのジェネレータのトレーニングには、攻撃対象モデルにアクセスすることを伴うブラックボックス最適化を実行する必要がある。 MAZEはこの最適化を行うためにゼロ階勾配推定に依存しており、高精度なMS攻撃を可能にする。 4つのデータセットを用いた評価から,mazeは0.91xから0.99xの範囲で正規化されたクローン精度を提供し,部分的データ(jbda,クローン精度0.13xから0.69x)とサロゲートデータ(knockoffnets,クローン精度0.52xから0.97x)に依存する最近の攻撃よりも優れていた。 また、部分データ設定におけるMAZEの拡張について検討し、ターゲット分布に近い合成データを生成するMAZE-PDを開発した。 MAZE-PDはさらにクローン精度(0.97xから1.0x)を改善し、攻撃に必要なクエリを2x-24x削減する。

関連論文リスト

• Model Inversion Attacks Through Target-Specific Conditional Diffusion Models [54.69008212790426]
  モデル反転攻撃(MIA)は、ターゲット分類器のトレーニングセットからプライベートイメージを再構築することを目的としており、それによってAIアプリケーションにおけるプライバシー上の懸念が高まる。 従来のGANベースのMIAは、GANの固有の欠陥と潜伏空間における最適化の偏りにより、劣った遺伝子的忠実度に悩まされる傾向にある。 これらの問題を緩和するために拡散モデル反転(Diff-MI)攻撃を提案する。
  論文  参考訳（メタデータ） (2024-07-16T06:38:49Z)
• Prediction Exposes Your Face: Black-box Model Inversion via Prediction Alignment [24.049615035939237]
  モデル反転(MI)攻撃は、その出力から対象モデルのプライベートトレーニングデータを再構成する。 ブラックボックスMI攻撃のための予測画像P2I手法を提案する。 本手法は,攻撃精度を8.5%向上し,データセットCelebAのクエリ数を99%削減する。
  論文  参考訳（メタデータ） (2024-07-11T01:58:35Z)
• Incremental Pseudo-Labeling for Black-Box Unsupervised Domain Adaptation [14.596659424489223]
  対象モデルの一般化能力を向上させるために,高信頼度擬似ラベルを漸進的に選択する手法を提案する。 実験により,提案手法は3つのベンチマークデータセット上で,最先端のブラックボックスによる教師なしドメイン適応性能を実現することを示した。
  論文  参考訳（メタデータ） (2024-05-26T05:41:42Z)
• Data-Free Hard-Label Robustness Stealing Attack [67.41281050467889]
  本稿では,Data-Free Hard-Label Robustness Stealing(DFHL-RS)攻撃について紹介する。 ターゲットモデルのハードラベルをクエリするだけで、モデル精度とロバスト性の両方を盗むことができる。 本手法は,AutoAttackに対して77.86%,頑健な39.51%の精度を実現する。
  論文  参考訳（メタデータ） (2023-12-10T16:14:02Z)
• Back to the Source: Diffusion-Driven Test-Time Adaptation [77.4229736436935]
  テスト時間適応はテスト入力を利用し、シフトしたターゲットデータ上でテストした場合、ソースデータに基づいてトレーニングされたモデルの精度を向上させる。 代わりに、生成拡散モデルを用いて、すべてのテスト入力をソース領域に向けて投影することで、ターゲットデータを更新する。
  論文  参考訳（メタデータ） (2022-07-07T17:14:10Z)
• How to Robustify Black-Box ML Models? A Zeroth-Order Optimization Perspective [74.47093382436823]
  入力クエリと出力フィードバックだけでブラックボックスモデルを堅牢化する方法? 我々は,ブラックボックスモデルに適用可能な防御操作の一般的な概念を提案し,それを復号化スムーシング(DS)のレンズを通して設計する。 我々は,ZO-AE-DSが既存のベースラインよりも精度,堅牢性,クエリの複雑さを向上できることを実証的に示す。
  論文  参考訳（メタデータ） (2022-03-27T03:23:32Z)
• Label-only Model Inversion Attack: The Attack that Requires the Least Information [14.061083728194378]
  モデル反転攻撃では、敵はモデル出力のみを使用してターゲットモデルをトレーニングするために使用されるデータレコードを再構築しようと試みる。 出力ラベルのみに基づいて入力データレコードを再構成できるモデル逆変換法が発見された。
  論文  参考訳（メタデータ） (2022-03-13T03:03:49Z)
• Leveraging Unlabeled Data to Predict Out-of-Distribution Performance [63.740181251997306]
  実世界の機械学習デプロイメントは、ソース(トレーニング)とターゲット(テスト)ディストリビューションのミスマッチによって特徴づけられる。 本研究では,ラベル付きソースデータとラベルなしターゲットデータのみを用いて,対象領域の精度を予測する手法を検討する。 本稿では,モデルの信頼度をしきい値として学習し,精度をラベルなし例のごく一部として予測する実践的手法である平均閾値保持信頼度(ATC)を提案する。
  論文  参考訳（メタデータ） (2022-01-11T23:01:12Z)
• MEGEX: Data-Free Model Extraction Attack against Gradient-Based Explainable AI [1.693045612956149]
  機械学習・アズ・ア・サービス(ML)にデプロイされたディープニューラルネットワークは、モデル抽出攻撃の脅威に直面している。 モデル抽出攻撃は知的財産権とプライバシーを侵害する攻撃であり、敵は予測だけを使用してクラウド内の訓練されたモデルを盗む。 本稿では、勾配に基づく説明可能なAIに対するデータフリーモデル抽出攻撃であるMEGEXを提案する。
  論文  参考訳（メタデータ） (2021-07-19T14:25:06Z)
• Data-Free Model Extraction [16.007030173299984]
  現在のモデル抽出攻撃は、敵が被害者モデルを訓練するために使用するプロプライエタリなデータに類似した特徴を持つ代理データセットにアクセスすることを前提としている。 本稿では,代用データセットを必要としないデータフリーモデル抽出手法を提案する。 提案したデータフリーモデル抽出手法は,問合せの難易度の高い高精度化を実現する。
  論文  参考訳（メタデータ） (2020-11-30T13:37:47Z)
• Knowledge-Enriched Distributional Model Inversion Attacks [49.43828150561947]
  モデルインバージョン(MI)攻撃は、モデルパラメータからトレーニングデータを再構成することを目的としている。 本稿では,パブリックデータからプライベートモデルに対する攻撃を行うのに役立つ知識を抽出する,新しい反転型GANを提案する。 実験の結果,これらの手法を組み合わせることで,最先端MI攻撃の成功率を150%向上させることができることがわかった。
  論文  参考訳（メタデータ） (2020-10-08T16:20:48Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。