論文の概要: DP-InstaHide: Provably Defusing Poisoning and Backdoor Attacks with
Differentially Private Data Augmentations
- arxiv url: http://arxiv.org/abs/2103.02079v1
- Date: Tue, 2 Mar 2021 23:07:31 GMT
- ステータス: 処理完了
- システム内更新日: 2021-03-04 15:04:25.024626
- Title: DP-InstaHide: Provably Defusing Poisoning and Backdoor Attacks with
Differentially Private Data Augmentations
- Title(参考訳): dp-instahide: 個別データ拡張による中毒やバックドア攻撃の回避
- Authors: Eitan Borgnia, Jonas Geiping, Valeriia Cherepanova, Liam Fowl, Arjun
Gupta, Amin Ghiasi, Furong Huang, Micah Goldblum, Tom Goldstein
- Abstract要約: 混合や無作為な付加ノイズなどの強いデータ拡張は、わずかな精度のトレードオフに耐えながら、毒の攻撃を無効にする。
DP-InstaHideの厳密な分析によると、ミキサップは確かにプライバシー上の利点があり、kウェイミキサップによるトレーニングは、単純DPメカニズムよりも少なくともk倍強いDP保証が得られる。
- 参考スコア(独自算出の注目度): 54.960853673256
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Data poisoning and backdoor attacks manipulate training data to induce
security breaches in a victim model. These attacks can be provably deflected
using differentially private (DP) training methods, although this comes with a
sharp decrease in model performance. The InstaHide method has recently been
proposed as an alternative to DP training that leverages supposed privacy
properties of the mixup augmentation, although without rigorous guarantees. In
this work, we show that strong data augmentations, such as mixup and random
additive noise, nullify poison attacks while enduring only a small accuracy
trade-off. To explain these finding, we propose a training method,
DP-InstaHide, which combines the mixup regularizer with additive noise. A
rigorous analysis of DP-InstaHide shows that mixup does indeed have privacy
advantages, and that training with k-way mixup provably yields at least k times
stronger DP guarantees than a naive DP mechanism. Because mixup (as opposed to
noise) is beneficial to model performance, DP-InstaHide provides a mechanism
for achieving stronger empirical performance against poisoning attacks than
other known DP methods.
- Abstract(参考訳): データ中毒とバックドア攻撃は、トレーニングデータを操作して、被害者モデルのセキュリティ侵害を引き起こす。
これらの攻撃はディファレンシャル・プライベート(DP)トレーニング手法で確実に偏向することができるが、モデル性能は大幅に低下する。
InstaHide法は、厳格な保証がないにもかかわらず、ミックスアップ強化のプライバシー特性が想定されるDPトレーニングの代替として最近提案されている。
本研究では,混合や無作為な付加雑音などの強いデータ拡張が,少ない精度のトレードオフを保ちながら,毒攻撃を無効にすることを示す。
そこで本研究では,混合正規化器と付加雑音を組み合わせたDP-InstaHideの学習手法を提案する。
DP-InstaHideの厳密な分析によると、ミキサップは確かにプライバシー上の利点があり、kウェイミキサップによるトレーニングは、単純DPメカニズムよりも少なくともk倍強いDP保証が得られる。
ミックスアップは(ノイズとは対照的に)性能をモデル化するのに有益であるため、DP-InstaHideは他のDPメソッドよりも強い経験的性能を達成するためのメカニズムを提供する。
関連論文リスト
- Closed-Form Bounds for DP-SGD against Record-level Inference [18.85865832127335]
我々はDP-SGDアルゴリズムに焦点をあて、単純な閉形式境界を導出する。
我々は、最先端技術にマッチする会員推定のバウンダリを得る。
属性推論に対する新しいデータ依存型バウンダリを提案する。
論文 参考訳(メタデータ) (2024-02-22T09:26:16Z) - Progressive Poisoned Data Isolation for Training-time Backdoor Defense [23.955347169187917]
ディープニューラルネットワーク(DNN)は、悪意のある攻撃者がデータ中毒によってモデルの予測を操作するバックドア攻撃の影響を受けやすい。
本研究では, PPD (Progressive isolated of Poisoned Data) と呼ばれる, 新規かつ効果的な防御手法を提案する。
我々のPIPDは99.95%の平均真正率(TPR)を達成し、CIFAR-10データセットに対する多様な攻撃に対して平均偽正率(FPR)を0.06%とした。
論文 参考訳(メタデータ) (2023-12-20T02:40:28Z) - Does Differential Privacy Prevent Backdoor Attacks in Practice? [8.951356689083166]
機械学習モデルにおけるバックドア攻撃防止における差分プライバシー手法の有効性について検討する。
本稿では,DP-SGD と PATE の高速かつ高精度な代替手段として Label-DP を提案する。
論文 参考訳(メタデータ) (2023-11-10T18:32:08Z) - Bounding Training Data Reconstruction in DP-SGD [42.36933026300976]
異なるプライベートトレーニングは、通常、メンバーシップ推論攻撃に対する保証として解釈される保護を提供する。
プロキシによって、この保証は、完全なトレーニング例を抽出しようとする再構築攻撃のような他の脅威にまで拡張される。
最近の研究は、もしメンバーシップ攻撃から保護する必要がなく、訓練データ再構成から保護することだけを望むなら、プライベートモデルの実用性を改善することができるという証拠を提供している。
論文 参考訳(メタデータ) (2023-02-14T18:02:34Z) - CorruptEncoder: Data Poisoning based Backdoor Attacks to Contrastive
Learning [71.25518220297639]
コントラスト学習は、ラベル付き事前学習データセットを使用して汎用エンコーダを訓練する。
DPBAはトレーニング前のデータセットに有毒な入力を注入してエンコーダをバックドアにする。
CorruptEncoderは、有毒な入力を生成するための新しい攻撃戦略を導入し、攻撃効率を最大化するために理論誘導方式を使用している。
我々の防衛はDPBAの有効性を低下させるが,エンコーダの実用性を犠牲にし,新たな防衛の必要性を浮き彫りにしている。
論文 参考訳(メタデータ) (2022-11-15T15:48:28Z) - FLIP: A Provable Defense Framework for Backdoor Mitigation in Federated
Learning [66.56240101249803]
我々は,クライアントの強固化がグローバルモデル(および悪意のあるクライアント)に与える影響について検討する。
本稿では, 逆エンジニアリングによる防御手法を提案するとともに, 堅牢性を保証して, 改良を実現できることを示す。
競合する8つのSOTA防御法について, 単発および連続のFLバックドア攻撃に対して, 提案手法の実証的優位性を示した。
論文 参考訳(メタデータ) (2022-10-23T22:24:03Z) - On the Practicality of Differential Privacy in Federated Learning by
Tuning Iteration Times [51.61278695776151]
フェデレートラーニング(FL)は、分散クライアント間で機械学習モデルを協調的にトレーニングする際のプライバシ保護でよく知られている。
最近の研究では、naive flは勾配リーク攻撃の影響を受けやすいことが指摘されている。
ディファレンシャルプライバシ(dp)は、勾配漏洩攻撃を防御するための有望な対策として現れる。
論文 参考訳(メタデータ) (2021-01-11T19:43:12Z) - Strong Data Augmentation Sanitizes Poisoning and Backdoor Attacks
Without an Accuracy Tradeoff [57.35978884015093]
CutMixのような強力なデータ拡張は、パフォーマンスを損なうことなく、中毒やバックドア攻撃の脅威を著しく減少させる可能性がある。
バックドアのコンテキストでは、CutMixは攻撃を大幅に軽減し、同時にバリデーションの精度を9%向上させる。
論文 参考訳(メタデータ) (2020-11-18T20:18:50Z) - Differentially Private Federated Learning with Laplacian Smoothing [72.85272874099644]
フェデレートラーニングは、ユーザ間でプライベートデータを共有せずに、協調的にモデルを学習することで、データのプライバシを保護することを目的としている。
敵は、リリースしたモデルを攻撃することによって、プライベートトレーニングデータを推測することができる。
差別化プライバシは、トレーニングされたモデルの正確性や実用性を著しく低下させる価格で、このような攻撃に対する統計的保護を提供する。
論文 参考訳(メタデータ) (2020-05-01T04:28:38Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。