論文の概要: Dataset Inference: Ownership Resolution in Machine Learning
- arxiv url: http://arxiv.org/abs/2104.10706v1
- Date: Wed, 21 Apr 2021 18:12:18 GMT
- ステータス: 処理完了
- システム内更新日: 2021-04-23 14:02:43.682944
- Title: Dataset Inference: Ownership Resolution in Machine Learning
- Title(参考訳): データセット推論: マシンラーニングにおけるオーナシップ解決
- Authors: Pratyush Maini and Mohammad Yaghini and Nicolas Papernot
- Abstract要約: 盗難モデルの訓練セットに含まれる知識は 全ての盗難コピーに共通しています
疑わしいモデルコピーが元のモデルのデータセットからプライベートな知識を持っているかどうかを識別するプロセスである$dataset$ $inferenceを紹介します。
CIFAR10、SVHN、CIFAR100、ImageNetの実験では、モデル所有者はモデル(または実際にデータセット)が盗まれたと99%以上の自信を持って主張できる。
- 参考スコア(独自算出の注目度): 18.248121977353506
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: With increasingly more data and computation involved in their training,
machine learning models constitute valuable intellectual property. This has
spurred interest in model stealing, which is made more practical by advances in
learning with partial, little, or no supervision. Existing defenses focus on
inserting unique watermarks in a model's decision surface, but this is
insufficient: the watermarks are not sampled from the training distribution and
thus are not always preserved during model stealing. In this paper, we make the
key observation that knowledge contained in the stolen model's training set is
what is common to all stolen copies. The adversary's goal, irrespective of the
attack employed, is always to extract this knowledge or its by-products. This
gives the original model's owner a strong advantage over the adversary: model
owners have access to the original training data. We thus introduce $dataset$
$inference$, the process of identifying whether a suspected model copy has
private knowledge from the original model's dataset, as a defense against model
stealing. We develop an approach for dataset inference that combines
statistical testing with the ability to estimate the distance of multiple data
points to the decision boundary. Our experiments on CIFAR10, SVHN, CIFAR100 and
ImageNet show that model owners can claim with confidence greater than 99% that
their model (or dataset as a matter of fact) was stolen, despite only exposing
50 of the stolen model's training points. Dataset inference defends against
state-of-the-art attacks even when the adversary is adaptive. Unlike prior
work, it does not require retraining or overfitting the defended model.
- Abstract(参考訳): ますます多くのデータと計算がトレーニングに関与しているため、機械学習モデルは貴重な知的財産となる。
これはモデルを盗むことへの関心を喚起し、部分的、ほとんど、または全く監督しない学習の進歩によってより実践的になった。
既存の防御策では、モデルの意思決定面にユニークなウォーターマークを挿入することに重点を置いているが、これは不十分である。
本稿では,盗まれたモデルのトレーニングセットに含まれる知識が,盗まれたすべてのコピーに共通するものであることを示す。
敵の目標は、攻撃にかかわらず、常にこの知識や副産物を抽出することである。
これにより、オリジナルのモデルのオーナーは、敵に対して強力な優位性を与える: モデルオーナーはオリジナルのトレーニングデータにアクセスすることができる。
これにより、疑わしいモデルコピーが元のモデルのデータセットからプライベートな知識を持っているかどうかを識別するプロセスである$dataset$ $inference$を導入する。
統計的テストと複数のデータポイントから決定境界までの距離を推定する能力を組み合わせたデータセット推論手法を開発した。
CIFAR10, SVHN, CIFAR100, ImageNetによる実験の結果, モデル所有者は, モデル(あるいは実際にデータセット)が盗まれたことを99%以上の自信を持って主張できることがわかった。
データセット推論は、敵が適応している場合でも最先端の攻撃を防御する。
以前の作業とは異なり、防御されたモデルの再訓練やオーバーフィットは不要である。
関連論文リスト
- Beyond Labeling Oracles: What does it mean to steal ML models? [52.63413852460003]
モデル抽出攻撃は、クエリアクセスのみで訓練されたモデルを盗むように設計されている。
モデル抽出攻撃の成功に影響を及ぼす要因について検討する。
我々は,ME攻撃の敵の目標を再定義するようコミュニティに促した。
論文 参考訳(メタデータ) (2023-10-03T11:10:21Z) - Isolation and Induction: Training Robust Deep Neural Networks against
Model Stealing Attacks [51.51023951695014]
既存のモデル盗難防衛は、被害者の後部確率に偽りの摂動を加え、攻撃者を誤解させる。
本稿では,モデルステルス防衛のための新規かつ効果的なトレーニングフレームワークである分離誘導(InI)を提案する。
モデルの精度を損なうモデル予測に摂動を加えるのとは対照的に、我々はモデルを訓練して、盗むクエリに対して非形式的なアウトプットを生成する。
論文 参考訳(メタデータ) (2023-08-02T05:54:01Z) - Are You Stealing My Model? Sample Correlation for Fingerprinting Deep
Neural Networks [86.55317144826179]
従来の方法は、常にモデル指紋として転送可能な敵の例を利用する。
本稿では,SAmple correlation (SAC) に基づく新しいモデル盗難検出手法を提案する。
SACは、敵の訓練や移動学習を含む様々なモデル盗難攻撃をうまく防いでいる。
論文 参考訳(メタデータ) (2022-10-21T02:07:50Z) - Synthetic Model Combination: An Instance-wise Approach to Unsupervised
Ensemble Learning [92.89846887298852]
ラベル付きデータのトレーニングセットから学ぶ機会のない、新しいテストデータに対する予測を検討する。
専門家モデルのセットと予測へのアクセスと、トレーニングに使用するデータセットに関する制限された情報を提供すること。
論文 参考訳(メタデータ) (2022-10-11T10:20:31Z) - Dataset Inference for Self-Supervised Models [21.119579812529395]
機械学習(ML)における自己教師型モデルの普及
それらは、出力するベクトル表現の高次元性のために、モデルステルス攻撃に対して脆弱である。
我々は、被害者エンコーダモデルのプライベートトレーニングセットを使用して、盗難時にその所有権を属性とする新しいデータセット推論ディフェンスを導入する。
論文 参考訳(メタデータ) (2022-09-16T15:39:06Z) - MOVE: Effective and Harmless Ownership Verification via Embedded
External Features [109.19238806106426]
本稿では,異なる種類のモデル盗難を同時に防ぐために,効果的かつ無害なモデル所有者認証(MOVE)を提案する。
我々は、疑わしいモデルがディフェンダー特定外部特徴の知識を含むかどうかを検証し、所有権検証を行う。
特に、包括的モデル保護を提供するために、ホワイトボックスとブラックボックスの両方の設定でMOVE法を開発した。
論文 参考訳(メタデータ) (2022-08-04T02:22:29Z) - Defending against Model Stealing via Verifying Embedded External
Features [90.29429679125508]
トレーニングサンプルがなく、モデルパラメータや構造にアクセスできない場合でも、敵はデプロイされたモデルを盗むことができる。
我々は、不審なモデルがディフェンダー特定遠近法の特徴の知識を含んでいるかどうかを検証することによって、他の角度からの防御を探索する。
本手法は, 複数段階の盗難処理によって盗難モデルが得られた場合でも, 同時に異なる種類の盗難モデルを検出するのに有効である。
論文 参考訳(メタデータ) (2021-12-07T03:51:54Z) - Entangled Watermarks as a Defense against Model Extraction [42.74645868767025]
Entangled Watermarking Embeddings (EWE)は、機械学習モデルをExtraction攻撃から保護するために使用される。
EWEは、タスク分布とウォーターマークをエンコードするデータからサンプリングされたデータを分類する機能を学ぶ。
MNIST、Fashion-MNIST、CIFAR-10、Speech Commandsの実験では、ディフェンダーは95%の信頼性でモデルの所有権を主張でき、100以上のクエリを盗まれている。
論文 参考訳(メタデータ) (2020-02-27T15:47:00Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。