論文の概要: DP-InstaHide: Provably Defusing Poisoning and Backdoor Attacks with
Differentially Private Data Augmentations
- arxiv url: http://arxiv.org/abs/2103.02079v1
- Date: Tue, 2 Mar 2021 23:07:31 GMT
- ステータス: 処理完了
- システム内更新日: 2021-03-04 15:04:25.024626
- Title: DP-InstaHide: Provably Defusing Poisoning and Backdoor Attacks with
Differentially Private Data Augmentations
- Title(参考訳): dp-instahide: 個別データ拡張による中毒やバックドア攻撃の回避
- Authors: Eitan Borgnia, Jonas Geiping, Valeriia Cherepanova, Liam Fowl, Arjun
Gupta, Amin Ghiasi, Furong Huang, Micah Goldblum, Tom Goldstein
- Abstract要約: 混合や無作為な付加ノイズなどの強いデータ拡張は、わずかな精度のトレードオフに耐えながら、毒の攻撃を無効にする。
DP-InstaHideの厳密な分析によると、ミキサップは確かにプライバシー上の利点があり、kウェイミキサップによるトレーニングは、単純DPメカニズムよりも少なくともk倍強いDP保証が得られる。
- 参考スコア(独自算出の注目度): 54.960853673256
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Data poisoning and backdoor attacks manipulate training data to induce
security breaches in a victim model. These attacks can be provably deflected
using differentially private (DP) training methods, although this comes with a
sharp decrease in model performance. The InstaHide method has recently been
proposed as an alternative to DP training that leverages supposed privacy
properties of the mixup augmentation, although without rigorous guarantees. In
this work, we show that strong data augmentations, such as mixup and random
additive noise, nullify poison attacks while enduring only a small accuracy
trade-off. To explain these finding, we propose a training method,
DP-InstaHide, which combines the mixup regularizer with additive noise. A
rigorous analysis of DP-InstaHide shows that mixup does indeed have privacy
advantages, and that training with k-way mixup provably yields at least k times
stronger DP guarantees than a naive DP mechanism. Because mixup (as opposed to
noise) is beneficial to model performance, DP-InstaHide provides a mechanism
for achieving stronger empirical performance against poisoning attacks than
other known DP methods.
- Abstract(参考訳): データ中毒とバックドア攻撃は、トレーニングデータを操作して、被害者モデルのセキュリティ侵害を引き起こす。
これらの攻撃はディファレンシャル・プライベート(DP)トレーニング手法で確実に偏向することができるが、モデル性能は大幅に低下する。
InstaHide法は、厳格な保証がないにもかかわらず、ミックスアップ強化のプライバシー特性が想定されるDPトレーニングの代替として最近提案されている。
本研究では,混合や無作為な付加雑音などの強いデータ拡張が,少ない精度のトレードオフを保ちながら,毒攻撃を無効にすることを示す。
そこで本研究では,混合正規化器と付加雑音を組み合わせたDP-InstaHideの学習手法を提案する。
DP-InstaHideの厳密な分析によると、ミキサップは確かにプライバシー上の利点があり、kウェイミキサップによるトレーニングは、単純DPメカニズムよりも少なくともk倍強いDP保証が得られる。
ミックスアップは(ノイズとは対照的に)性能をモデル化するのに有益であるため、DP-InstaHideは他のDPメソッドよりも強い経験的性能を達成するためのメカニズムを提供する。
関連論文リスト
- To Shuffle or not to Shuffle: Auditing DP-SGD with Shuffling [25.669347036509134]
シャッフル法を用いてDP-SGDを解析した。
プライバシー保証を十分に過大評価(最大4倍)することで訓練された最先端のDPモデルを示す。
我々の研究は、DP-SGDの実際のプライバシー漏洩を、Poissonサブサンプリングのvis-a-visに代えてシャッフルを使用するリスクを実証的に証明している。
論文 参考訳(メタデータ) (2024-11-15T22:34:28Z) - Efficient Backdoor Defense in Multimodal Contrastive Learning: A Token-Level Unlearning Method for Mitigating Threats [52.94388672185062]
本稿では,機械学習という概念を用いて,バックドアの脅威に対する効果的な防御機構を提案する。
これは、モデルがバックドアの脆弱性を迅速に学習するのを助けるために、小さな毒のサンプルを戦略的に作成することを必要とする。
バックドア・アンラーニング・プロセスでは,新しいトークン・ベースの非ラーニング・トレーニング・システムを提案する。
論文 参考訳(メタデータ) (2024-09-29T02:55:38Z) - Rethinking Improved Privacy-Utility Trade-off with Pre-existing Knowledge for DP Training [31.559864332056648]
異種雑音(DP-Hero)を有する一般微分プライバシーフレームワークを提案する。
DP-Hero上では、勾配更新に注入されたノイズが不均一であり、予め確立されたモデルパラメータによって誘導されるDP-SGDの異種バージョンをインスタンス化する。
提案するDP-Heroの有効性を検証・説明するための総合的な実験を行い,最新技術と比較するとトレーニング精度が向上した。
論文 参考訳(メタデータ) (2024-09-05T08:40:54Z) - Pre-training Differentially Private Models with Limited Public Data [54.943023722114134]
ディファレンシャルプライバシ(DP)は、モデルに提供されるセキュリティの度合いを測定するための重要な手法である。
DPはまだ、最初の事前訓練段階で使用されるデータのかなりの部分を保護することができない。
公共データの10%しか利用しない新しいDP継続事前学習戦略を開発した。
ImageNet-21kのDP精度は41.5%、非DP精度は55.7%、下流タスクのPlaces365とiNaturalist-2021では60.0%である。
論文 参考訳(メタデータ) (2024-02-28T23:26:27Z) - Closed-Form Bounds for DP-SGD against Record-level Inference [18.85865832127335]
我々はDP-SGDアルゴリズムに焦点をあて、単純な閉形式境界を導出する。
我々は、最先端技術にマッチする会員推定のバウンダリを得る。
属性推論に対する新しいデータ依存型バウンダリを提案する。
論文 参考訳(メタデータ) (2024-02-22T09:26:16Z) - Can We Trust the Unlabeled Target Data? Towards Backdoor Attack and Defense on Model Adaptation [120.42853706967188]
本研究は, よく設計された毒物標的データによるモデル適応に対するバックドア攻撃の可能性を探る。
既存の適応アルゴリズムと組み合わせたMixAdaptというプラグイン・アンド・プレイ方式を提案する。
論文 参考訳(メタデータ) (2024-01-11T16:42:10Z) - Does Differential Privacy Prevent Backdoor Attacks in Practice? [8.951356689083166]
機械学習モデルにおけるバックドア攻撃防止における差分プライバシー手法の有効性について検討する。
本稿では,DP-SGD と PATE の高速かつ高精度な代替手段として Label-DP を提案する。
論文 参考訳(メタデータ) (2023-11-10T18:32:08Z) - Bounding Training Data Reconstruction in DP-SGD [42.36933026300976]
異なるプライベートトレーニングは、通常、メンバーシップ推論攻撃に対する保証として解釈される保護を提供する。
プロキシによって、この保証は、完全なトレーニング例を抽出しようとする再構築攻撃のような他の脅威にまで拡張される。
最近の研究は、もしメンバーシップ攻撃から保護する必要がなく、訓練データ再構成から保護することだけを望むなら、プライベートモデルの実用性を改善することができるという証拠を提供している。
論文 参考訳(メタデータ) (2023-02-14T18:02:34Z) - FLIP: A Provable Defense Framework for Backdoor Mitigation in Federated
Learning [66.56240101249803]
我々は,クライアントの強固化がグローバルモデル(および悪意のあるクライアント)に与える影響について検討する。
本稿では, 逆エンジニアリングによる防御手法を提案するとともに, 堅牢性を保証して, 改良を実現できることを示す。
競合する8つのSOTA防御法について, 単発および連続のFLバックドア攻撃に対して, 提案手法の実証的優位性を示した。
論文 参考訳(メタデータ) (2022-10-23T22:24:03Z) - Strong Data Augmentation Sanitizes Poisoning and Backdoor Attacks
Without an Accuracy Tradeoff [57.35978884015093]
CutMixのような強力なデータ拡張は、パフォーマンスを損なうことなく、中毒やバックドア攻撃の脅威を著しく減少させる可能性がある。
バックドアのコンテキストでは、CutMixは攻撃を大幅に軽減し、同時にバリデーションの精度を9%向上させる。
論文 参考訳(メタデータ) (2020-11-18T20:18:50Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。