論文の概要: Practical Blind Membership Inference Attack via Differential Comparisons
- arxiv url: http://arxiv.org/abs/2101.01341v2
- Date: Thu, 7 Jan 2021 02:24:04 GMT
- ステータス: 処理完了
- システム内更新日: 2021-04-11 11:28:15.501596
- Title: Practical Blind Membership Inference Attack via Differential Comparisons
- Title(参考訳): 差分比較による実践的ブラインドメンバーシップ推論攻撃
- Authors: Bo Hui, Yuchen Yang, Haolin Yuan, Philippe Burlina, Neil Zhenqiang
Gong and Yinzhi Cao
- Abstract要約: メンバーシップ推論(MI)攻撃は、特定のデータサンプルがターゲット学習モデルのトレーニングに使用されたかどうかを推測することによって、ユーザのプライバシに影響を与える。
blindmiはターゲットモデルを調査し、差分比較と呼ばれる新しいアプローチでメンバーシップセマンティクスを抽出する。
BlindMIを最先端のMI攻撃アルゴリズムと比較して評価した。
- 参考スコア(独自算出の注目度): 22.582872789369752
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Membership inference (MI) attacks affect user privacy by inferring whether
given data samples have been used to train a target learning model, e.g., a
deep neural network. There are two types of MI attacks in the literature, i.e.,
these with and without shadow models. The success of the former heavily depends
on the quality of the shadow model, i.e., the transferability between the
shadow and the target; the latter, given only blackbox probing access to the
target model, cannot make an effective inference of unknowns, compared with MI
attacks using shadow models, due to the insufficient number of qualified
samples labeled with ground truth membership information.
In this paper, we propose an MI attack, called BlindMI, which probes the
target model and extracts membership semantics via a novel approach, called
differential comparison. The high-level idea is that BlindMI first generates a
dataset with nonmembers via transforming existing samples into new samples, and
then differentially moves samples from a target dataset to the generated,
non-member set in an iterative manner. If the differential move of a sample
increases the set distance, BlindMI considers the sample as non-member and vice
versa.
BlindMI was evaluated by comparing it with state-of-the-art MI attack
algorithms. Our evaluation shows that BlindMI improves F1-score by nearly 20%
when compared to state-of-the-art on some datasets, such as Purchase-50 and
Birds-200, in the blind setting where the adversary does not know the target
model's architecture and the target dataset's ground truth labels. We also show
that BlindMI can defeat state-of-the-art defenses.
- Abstract(参考訳): メンバーシップ推論(MI)攻撃は、対象とする学習モデル(ディープニューラルネットワークなど)のトレーニングに与えられたデータサンプルを使用したかどうかを推測することで、ユーザのプライバシに影響を与える。
文献には2種類のMI攻撃があり、すなわちこれらは影モデルと無影モデルである。
前者の成功は、シャドーモデルの品質、すなわち、シャドーモデルとターゲット間の転送可能性に大きく依存する。後者は、ターゲットモデルにアクセスできるブラックボックスのみを与えられた場合、地上の真理メンバーシップ情報にラベル付けされた適格なサンプルが不足しているため、シャドーモデルを用いたMI攻撃と比較して、未知を効果的に推測することはできない。
本稿では,ターゲットモデルを調査し,新たなアプローチである差分比較によってメンバーシップセマンティクスを抽出する,ブラインドミ(blindmi)と呼ばれるmi攻撃を提案する。
ハイレベルなアイデアは、ブラインドミがまず既存のサンプルを新しいサンプルに変換することで非メンバーのデータセットを生成し、その後、ターゲットのデータセットから生成された非メンバーのセットに反復的にサンプルを移動させるというものだ。
サンプルの微分移動が設定距離を増大させると、BlindMIはサンプルを非メンバーとみなし、その逆とみなす。
BlindMIを最先端のMI攻撃アルゴリズムと比較して評価した。
本評価では,ターゲットモデルのアーキテクチャや対象データセットの基底真理ラベルを知らないブラインド設定において,boeing-50やbirds-200といった一部のデータセットの最先端と比較して,blindmiがf1-scoreを20%近く改善することを示す。
また、BlindMIが最先端の防衛を倒すことも示している。
関連論文リスト
- Model Inversion Attacks Through Target-Specific Conditional Diffusion Models [54.69008212790426]
モデル反転攻撃(MIA)は、ターゲット分類器のトレーニングセットからプライベートイメージを再構築することを目的としており、それによってAIアプリケーションにおけるプライバシー上の懸念が高まる。
従来のGANベースのMIAは、GANの固有の欠陥と潜伏空間における最適化の偏りにより、劣った遺伝子的忠実度に悩まされる傾向にある。
これらの問題を緩和するために拡散モデル反転(Diff-MI)攻撃を提案する。
論文 参考訳(メタデータ) (2024-07-16T06:38:49Z) - Practical Membership Inference Attacks against Fine-tuned Large Language Models via Self-prompt Calibration [32.15773300068426]
メンバーシップ推論攻撃は、対象のデータレコードがモデルトレーニングに使用されたかどうかを推測することを目的としている。
自己校正確率変動(SPV-MIA)に基づくメンバーシップ推論攻撃を提案する。
論文 参考訳(メタデータ) (2023-11-10T13:55:05Z) - Why Train More? Effective and Efficient Membership Inference via
Memorization [34.13594460560715]
メンバシップ推論攻撃は、マシンラーニングモデルのプライベートトレーニングデータセット内で、特定のデータサンプルを特定することを目的としている。
戦略的にサンプルを選択することで、MI敵はシャドウモデルの数を最小化しながら攻撃の成功を最大化することができる。
論文 参考訳(メタデータ) (2023-10-12T03:29:53Z) - Adaptive Face Recognition Using Adversarial Information Network [57.29464116557734]
顔認識モデルは、トレーニングデータがテストデータと異なる場合、しばしば退化する。
本稿では,新たな敵情報ネットワーク(AIN)を提案する。
論文 参考訳(メタデータ) (2023-05-23T02:14:11Z) - Membership Inference Attacks against Synthetic Data through Overfitting
Detection [84.02632160692995]
我々は、攻撃者が基礎となるデータ分布についてある程度の知識を持っていると仮定する現実的なMIA設定について論じる。
生成モデルの局所的なオーバーフィッティングをターゲットとして,メンバシップを推論することを目的とした密度ベースMIAモデルであるDOMIASを提案する。
論文 参考訳(メタデータ) (2023-02-24T11:27:39Z) - Pseudo Label-Guided Model Inversion Attack via Conditional Generative
Adversarial Network [102.21368201494909]
モデル反転(MI)攻撃はプライバシーに対する懸念を高めている。
近年のMI攻撃では,探索空間を狭める前にGAN(Generative Adversarial Network)を画像として活用している。
我々は条件付きGAN(cGAN)による擬似ラベル誘導MI(PLG-MI)攻撃を提案する。
論文 参考訳(メタデータ) (2023-02-20T07:29:34Z) - l-Leaks: Membership Inference Attacks with Logits [5.663757165885866]
我々はターゲットモデルへのブラックボックスアクセスに基づく攻撃を提示する。
ターゲットモデルのロジットを学習し、ターゲットモデルとよりよく似たシャドーモデルを構築することにより、シャドーモデルを構築する。
論文 参考訳(メタデータ) (2022-05-13T06:59:09Z) - An Efficient Subpopulation-based Membership Inference Attack [11.172550334631921]
我々は、数百のシャドウモデルを訓練する必要のない、根本的に異なるMIアタックアプローチを導入する。
我々は、トレーニングコストを大幅に削減しつつ、最先端の会員推定精度を達成する。
論文 参考訳(メタデータ) (2022-03-04T00:52:06Z) - Knowledge-Enriched Distributional Model Inversion Attacks [49.43828150561947]
モデルインバージョン(MI)攻撃は、モデルパラメータからトレーニングデータを再構成することを目的としている。
本稿では,パブリックデータからプライベートモデルに対する攻撃を行うのに役立つ知識を抽出する,新しい反転型GANを提案する。
実験の結果,これらの手法を組み合わせることで,最先端MI攻撃の成功率を150%向上させることができることがわかった。
論文 参考訳(メタデータ) (2020-10-08T16:20:48Z) - Two Sides of the Same Coin: White-box and Black-box Attacks for Transfer
Learning [60.784641458579124]
ホワイトボックスFGSM攻撃によるモデルロバスト性を効果的に向上することを示す。
また,移動学習モデルに対するブラックボックス攻撃手法を提案する。
ホワイトボックス攻撃とブラックボックス攻撃の双方の効果を系統的に評価するために,ソースモデルからターゲットモデルへの変換可能性の評価手法を提案する。
論文 参考訳(メタデータ) (2020-08-25T15:04:32Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。