論文の概要: Adversary Instantiation: Lower Bounds for Differentially Private Machine
Learning
- arxiv url: http://arxiv.org/abs/2101.04535v1
- Date: Mon, 11 Jan 2021 18:47:11 GMT
- ステータス: 処理完了
- システム内更新日: 2021-04-04 16:29:37.750338
- Title: Adversary Instantiation: Lower Bounds for Differentially Private Machine
Learning
- Title(参考訳): Adversary Instantiation: 差分プライベート機械学習のための低境界
- Authors: Milad Nasr, Shuang Song, Abhradeep Thakurta, Nicolas Papernot and
Nicholas Carlini
- Abstract要約: 異なるプライベート(DP)機械学習により、データ漏洩を制限しながら、プライベートデータに関するモデルをトレーニングできます。
本稿では,DPトレーニングアルゴリズムのプライバシ分析における敵対的能力の重要性について検討する。
- 参考スコア(独自算出の注目度): 43.6041475698327
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Differentially private (DP) machine learning allows us to train models on
private data while limiting data leakage. DP formalizes this data leakage
through a cryptographic game, where an adversary must predict if a model was
trained on a dataset D, or a dataset D' that differs in just one example.If
observing the training algorithm does not meaningfully increase the adversary's
odds of successfully guessing which dataset the model was trained on, then the
algorithm is said to be differentially private. Hence, the purpose of privacy
analysis is to upper bound the probability that any adversary could
successfully guess which dataset the model was trained on.In our paper, we
instantiate this hypothetical adversary in order to establish lower bounds on
the probability that this distinguishing game can be won. We use this adversary
to evaluate the importance of the adversary capabilities allowed in the privacy
analysis of DP training algorithms.For DP-SGD, the most common method for
training neural networks with differential privacy, our lower bounds are tight
and match the theoretical upper bound. This implies that in order to prove
better upper bounds, it will be necessary to make use of additional
assumptions. Fortunately, we find that our attacks are significantly weaker
when additional (realistic)restrictions are put in place on the adversary's
capabilities.Thus, in the practical setting common to many real-world
deployments, there is a gap between our lower bounds and the upper bounds
provided by the analysis: differential privacy is conservative and adversaries
may not be able to leak as much information as suggested by the theoretical
bound.
- Abstract(参考訳): differentially private (dp) マシンラーニングは、データ漏洩を制限しながら、プライベートデータのモデルのトレーニングを可能にする。
DPは、このデータ漏洩を、あるモデルがデータセットDでトレーニングされたか、あるいは1つの例で異なるデータセットD'でトレーニングされたかを、相手が予測しなければならない暗号ゲームを通じて形式化する。
したがって,プライバシ分析の目的は,どの敵がモデルがトレーニングされたのかを推測できる確率を上限にすることであり,本論文では,この差分ゲームに勝つ可能性の低い境界を確立するために,この仮説的敵をインスタンス化する。
dp-sgdは,プライバシの異なるプライバシを持つニューラルネットワークをトレーニングするための最も一般的な手法であり,その下限は厳密であり,理論上の上限と一致している。
これは、より良い上限を証明するためには、追加の仮定を使う必要があることを意味する。
幸いなことに、我々の攻撃は敵の能力に追加の(現実的な)制限を加えると著しく弱くなり、しかし多くの実世界の展開に共通する実践的な環境では、我々の下限と分析によって提供される上限の間にギャップがある: 差分プライバシーは保守的であり、敵は理論的境界によって示唆されるような情報を漏らすことができないかもしれない。
関連論文リスト
- Closed-Form Bounds for DP-SGD against Record-level Inference [18.85865832127335]
我々はDP-SGDアルゴリズムに焦点をあて、単純な閉形式境界を導出する。
我々は、最先端技術にマッチする会員推定のバウンダリを得る。
属性推論に対する新しいデータ依存型バウンダリを提案する。
論文 参考訳(メタデータ) (2024-02-22T09:26:16Z) - Gradients Look Alike: Sensitivity is Often Overestimated in DP-SGD [44.11069254181353]
DP-SGDのリークは、一般的なベンチマークでトレーニングした場合、多くのデータポイントのプライバシが大幅に低下することを示す。
これは、敵がトレーニングデータセットを十分にコントロールしていない場合、プライバシ攻撃が多くのデータポイントに対して必ず失敗することを意味する。
論文 参考訳(メタデータ) (2023-07-01T11:51:56Z) - Why Is Public Pretraining Necessary for Private Model Training? [50.054565310457306]
公開データに対する事前トレーニングは、非プライベートな設定よりも顕著な利益をもたらすことを示す。
トレードオフは、アルゴリズムが2つのフェーズを通過する必要のある、より深い損失モデルかもしれない、と私たちは主張する。
直観によって導かれた理論的な構成は、公的な事前訓練なしでの私的分離を確実に実証するものである。
論文 参考訳(メタデータ) (2023-02-19T05:32:20Z) - Analyzing Privacy Leakage in Machine Learning via Multiple Hypothesis
Testing: A Lesson From Fano [83.5933307263932]
本研究では,離散データに対するデータ再構成攻撃について検討し,仮説テストの枠組みの下で解析する。
基礎となるプライベートデータが$M$のセットから値を取ると、ターゲットのプライバシパラメータ$epsilon$が$O(log M)$になる。
論文 参考訳(メタデータ) (2022-10-24T23:50:12Z) - Fine-Tuning with Differential Privacy Necessitates an Additional
Hyperparameter Search [38.83524780461911]
トレーニング済みニューラルネットワークで微調整されたレイヤを慎重に選択することで、プライバシと正確性の間に新たな最先端のトレードオフを確立することができることを示す。
ImageNetで事前トレーニングされたモデルに対して、CIFAR-100上で$(varepsilon, delta)= (2, 10-5)$に対して77.9%の精度を達成する。
論文 参考訳(メタデータ) (2022-10-05T11:32:49Z) - Individual Privacy Accounting for Differentially Private Stochastic Gradient Descent [69.14164921515949]
DP-SGDで訓練されたモデルをリリースする際の個々の事例に対するプライバシー保証を特徴付ける。
ほとんどの例では、最悪のケースよりも強力なプライバシー保証を享受しています。
これは、モデルユーティリティの観点からは守られないグループが同時に、より弱いプライバシー保証を経験することを意味する。
論文 参考訳(メタデータ) (2022-06-06T13:49:37Z) - Don't Generate Me: Training Differentially Private Generative Models
with Sinkhorn Divergence [73.14373832423156]
そこで我々はDP-Sinkhornを提案する。DP-Sinkhornは個人データからデータ分布を差分プライバシで学習するための新しいトランスポートベース生成手法である。
差分的にプライベートな生成モデルを訓練するための既存のアプローチとは異なり、我々は敵の目的に頼らない。
論文 参考訳(メタデータ) (2021-11-01T18:10:21Z) - Quantifying identifiability to choose and audit $\epsilon$ in
differentially private deep learning [15.294433619347082]
機械学習で差分プライバシーを使用するには、データサイエンティストがプライバシパラメータを$(epsilon,delta)$を選択する必要がある。
私たちは$(epsilon,delta)$を、トレーニングデータセット内のレコードの存在に関する差分プライバシーによって想定される相手のベイジアン後方信念にバインドに変換します。
我々は、データサイエンティストがモデルのトレーニングを監査し、経験的識別可能性スコアと経験的$(epsilon,delta)$を計算することを可能にするこの差分プライバシーの敵対の実装を策定します。
論文 参考訳(メタデータ) (2021-03-04T09:35:58Z) - User-Level Privacy-Preserving Federated Learning: Analysis and
Performance Optimization [77.43075255745389]
フェデレートラーニング(FL)は、データを有用なモデルにトレーニングしながら、モバイル端末(MT)からプライベートデータを保存することができる。
情報理論の観点からは、MTがアップロードした共有モデルから、好奇心の強いサーバがプライベートな情報を推測することが可能である。
サーバにアップロードする前に、共有モデルに人工ノイズを加えることで、ユーザレベルの差分プライバシー(UDP)アルゴリズムを提案する。
論文 参考訳(メタデータ) (2020-02-29T10:13:39Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。