Fugu-MT 論文翻訳(概要): Label-Only Membership Inference Attacks

論文の概要: Label-Only Membership Inference Attacks

arxiv url: http://arxiv.org/abs/2007.14321v3
Date: Sun, 5 Dec 2021 22:45:19 GMT
ステータス: 処理完了
システム内更新日: 2022-11-06 02:02:55.954747
Title: Label-Only Membership Inference Attacks
Title（参考訳）: ラベルのみのメンバーシップ推論攻撃
Authors: Christopher A. Choquette-Choo, Florian Tramer, Nicholas Carlini, and Nicolas Papernot
Abstract要約: ラベルのみのメンバシップ推論攻撃を導入する。我々の攻撃は、摂動下でのモデルが予測するラベルの堅牢性を評価する。差分プライバシーと(強い)L2正規化を備えたトレーニングモデルは、唯一知られている防衛戦略である。
参考スコア（独自算出の注目度）: 67.46072950620247
License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
Abstract: Membership inference attacks are one of the simplest forms of privacy leakage for machine learning models: given a data point and model, determine whether the point was used to train the model. Existing membership inference attacks exploit models' abnormal confidence when queried on their training data. These attacks do not apply if the adversary only gets access to models' predicted labels, without a confidence measure. In this paper, we introduce label-only membership inference attacks. Instead of relying on confidence scores, our attacks evaluate the robustness of a model's predicted labels under perturbations to obtain a fine-grained membership signal. These perturbations include common data augmentations or adversarial examples. We empirically show that our label-only membership inference attacks perform on par with prior attacks that required access to model confidences. We further demonstrate that label-only attacks break multiple defenses against membership inference attacks that (implicitly or explicitly) rely on a phenomenon we call confidence masking. These defenses modify a model's confidence scores in order to thwart attacks, but leave the model's predicted labels unchanged. Our label-only attacks demonstrate that confidence-masking is not a viable defense strategy against membership inference. Finally, we investigate worst-case label-only attacks, that infer membership for a small number of outlier data points. We show that label-only attacks also match confidence-based attacks in this setting. We find that training models with differential privacy and (strong) L2 regularization are the only known defense strategies that successfully prevents all attacks. This remains true even when the differential privacy budget is too high to offer meaningful provable guarantees.
Abstract（参考訳）: データポイントとモデルが与えられたら、そのポイントがモデルをトレーニングするために使用されたかどうかを判断する。既存のメンバーシップ推論は、トレーニングデータに問い合わせたとき、モデルの異常な信頼を悪用する。これらの攻撃は、敵がモデルの予測ラベルにのみアクセスし、信頼度尺度なしでは適用されない。本稿では,ラベルのみのメンバーシップ推論攻撃を提案する。我々の攻撃は、信頼スコアに頼るのではなく、モデルが予測するラベルの頑健さを評価し、きめ細かいメンバーシップ信号を得る。これらの摂動には、共通のデータ拡張や敵対的な例が含まれる。ラベルのみのメンバシップ推論攻撃が,モデル信頼性へのアクセスを必要とする事前攻撃と同等に動作することを実証的に示す。さらに,信頼マスキングと呼ばれる現象に依存するメンバシップ推論攻撃に対して,ラベルのみの攻撃が複数の防御を破ることも実証する。これらの防御は、攻撃を防ぐためにモデルの信頼性スコアを変更するが、モデルの予測されたラベルは変更しない。ラベルのみによる攻撃は、自信のマスキングがメンバーシップ推論に対して実行可能な防衛戦略ではないことを示す。最後に,少数の異常なデータポイントのメンバシップを推定する最悪のラベルのみ攻撃について検討する。この設定ではラベルのみの攻撃も信頼に基づく攻撃と一致している。差分プライバシーと(強い)L2正規化を備えたトレーニングモデルは、すべての攻撃をうまく防ぐ唯一の既知の防衛戦略である。これは、差分プライバシ予算が有意義な保証を提供するには高すぎる場合でもなお当てはまります。

関連論文リスト

Robust Federated Learning Mitigates Client-side Training Data Distribution Inference Attacks [48.70867241987739]
InferGuardは、クライアント側のトレーニングデータ分散推論攻撃に対する防御を目的とした、新しいビザンチン・ロバスト集約ルールである。実験の結果,我々の防衛機構はクライアント側のトレーニングデータ分布推定攻撃に対する防御に極めて有効であることが示唆された。
論文参考訳（メタデータ） (2024-03-05T17:41:35Z)
Can We Trust the Unlabeled Target Data? Towards Backdoor Attack and Defense on Model Adaptation [120.42853706967188]
本研究は, よく設計された毒物標的データによるモデル適応に対するバックドア攻撃の可能性を探る。既存の適応アルゴリズムと組み合わせたMixAdaptというプラグイン・アンド・プレイ方式を提案する。
論文参考訳（メタデータ） (2024-01-11T16:42:10Z)
Confidence Is All You Need for MI Attacks [7.743155804758186]
モデルのトレーニングセットにおけるデータポイントのメンバシップを計測する新しい手法を提案する。トレーニング中、モデルは基本的にトレーニングデータに'適合'しており、目に見えないデータへの一般化において特に困難に直面している可能性がある。
論文参考訳（メタデータ） (2023-11-26T18:09:24Z)
Chameleon: Increasing Label-Only Membership Leakage with Adaptive Poisoning [8.084254242380057]
メンバーシップ推論(MI)攻撃は、特定のデータサンプルがモデルのトレーニングデータセットに含まれているかどうかを判断する。既存のラベルのみのMI攻撃は、偽陽性率の低い体制での加入を推測するには効果がないことを示す。本稿では,新たなアダプティブなデータ中毒戦略と効率的なクエリ選択手法を活用する新たな攻撃型Chameleonを提案する。
論文参考訳（メタデータ） (2023-10-05T18:46:27Z)
Membership-Doctor: Comprehensive Assessment of Membership Inference Against Machine Learning Models [11.842337448801066]
本稿では,様々なメンバーシップ推論攻撃と防衛の大規模測定を行う。脅威モデル(例えば、同一構造や、シャドーモデルとターゲットモデルとの同一分布)のいくつかの仮定は不要である。また、実験室のデータセットではなく、インターネットから収集された実世界のデータに対する攻撃を最初に実施しました。
論文参考訳（メタデータ） (2022-08-22T17:00:53Z)
One Parameter Defense -- Defending against Data Inference Attacks via Differential Privacy [26.000487178636927]
機械学習モデルは、メンバシップ推論やモデル反転攻撃のようなデータ推論攻撃に弱い。既存の防衛方法は、メンバーシップ推論攻撃からのみ保護する。両攻撃を時間効率で処理する差分プライベートディフェンス法を提案する。
論文参考訳（メタデータ） (2022-03-13T06:06:24Z)
Hidden Backdoor Attack against Semantic Segmentation Models [60.0327238844584]
Emphbackdoor攻撃は、深層ニューラルネットワーク(DNN)に隠れたバックドアを埋め込み、トレーニングデータに毒を盛ることを目的としている。我々は,対象ラベルを画像レベルではなくオブジェクトレベルから扱う,新たな攻撃パラダイムであるemphfine-fine-grained attackを提案する。実験により、提案手法はわずかなトレーニングデータだけを毒殺することでセマンティックセグメンテーションモデルを攻撃することに成功した。
論文参考訳（メタデータ） (2021-03-06T05:50:29Z)
Sampling Attacks: Amplification of Membership Inference Attacks by Repeated Queries [74.59376038272661]
本手法は,他の標準メンバーシップ相手と異なり,被害者モデルのスコアにアクセスできないような厳格な制限の下で動作可能な,新しいメンバーシップ推論手法であるサンプリングアタックを導入する。ラベルのみを公開している被害者モデルでは,攻撃のサンプリングが引き続き可能であり,攻撃者はその性能の最大100%を回復できることを示す。防衛においては,被害者モデルのトレーニング中の勾配摂動と予測時の出力摂動の形式で差分プライバシーを選択する。
論文参考訳（メタデータ） (2020-09-01T12:54:54Z)
Membership Leakage in Label-Only Exposures [10.875144776014533]
本稿では,機械学習モデルに対する決定に基づくメンバシップ推論攻撃を提案する。特に、転送攻撃と境界攻撃という2種類の意思決定ベースの攻撃を考案する。また,量的および質的分析に基づく会員推定の成功に関する新たな知見も提示する。
論文参考訳（メタデータ） (2020-07-30T15:27:55Z)
Adversarial Imitation Attack [63.76805962712481]
現実的な敵攻撃は、攻撃されたモデルの知識をできるだけ少なくする必要がある。現在の代替攻撃では、敵の例を生成するために事前訓練されたモデルが必要である。本研究では,新たな敵模倣攻撃を提案する。
論文参考訳（メタデータ） (2020-03-28T10:02:49Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。