論文の概要: Black-Box Dissector: Towards Erasing-based Hard-Label Model Stealing
Attack
- arxiv url: http://arxiv.org/abs/2105.00623v1
- Date: Mon, 3 May 2021 04:12:31 GMT
- ステータス: 処理完了
- システム内更新日: 2021-05-04 14:01:50.445610
- Title: Black-Box Dissector: Towards Erasing-based Hard-Label Model Stealing
Attack
- Title(参考訳): Black-Box Dissector: 消去型ハードラベルモデルステアリング攻撃を目指して
- Authors: Yixu Wang, Jie Li, Hong Liu, Yongjian Wu, Rongrong Ji
- Abstract要約: モデル盗み攻撃は、被害者のターゲットモデルの能力を盗む代替モデルを作ることを目的としている。
既存の手法のほとんどは、最も現実的なシナリオでは利用できない被害者モデルからの完全な確率出力に依存する。
被害者モデルからハードラベルに隠された情報をマイニングするためのCAM駆動の消去戦略を含む,Emphblack-box Dissectorと呼ばれる新しいハードラベルモデルステアリング手法を提案する。
- 参考スコア(独自算出の注目度): 90.6076825117532
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Model stealing attack aims to create a substitute model that steals the
ability of the victim target model. However, most of the existing methods
depend on the full probability outputs from the victim model, which is
unavailable in most realistic scenarios. Focusing on the more practical
hard-label setting, due to the lack of rich information in the probability
prediction, the existing methods suffer from catastrophic performance
degradation. Inspired by knowledge distillation, we propose a novel hard-label
model stealing method termed \emph{black-box dissector}, which includes a
CAM-driven erasing strategy to mine the hidden information in hard labels from
the victim model, and a random-erasing-based self-knowledge distillation module
utilizing soft labels from substitute model to avoid overfitting and
miscalibration caused by hard labels. Extensive experiments on four widely-used
datasets consistently show that our method outperforms state-of-the-art
methods, with an improvement of at most $9.92\%$. In addition, experiments on
real-world APIs further prove the effectiveness of our method. Our method also
can invalidate existing defense methods which further demonstrates the
practical potential of our methods.
- Abstract(参考訳): モデル盗み攻撃は、被害者のターゲットモデルの能力を盗む代替モデルを作ることを目的としている。
しかし、既存の手法のほとんどは、最も現実的なシナリオでは利用できない被害者モデルからの完全な確率出力に依存する。
より実用的なハードラベル設定に着目し、確率予測に豊富な情報がないため、既存の手法は破滅的な性能劣化に悩まされる。
知識蒸留に触発された新しいハードラベルモデル盗用法である \emph{black-box dissector} は,被害者モデルからハードラベルに隠された情報をマイニングするカム駆動消去戦略と,ハードラベルによる過剰フィッティングやミスキャリブレーションを避けるために代替モデルからソフトラベルを利用したランダム消去ベースの自己認識蒸留モジュールを含む。
広く使われている4つのデータセットに関する広範囲な実験により、この手法は最先端の手法よりも優れており、少なくとも9.92\%$である。
さらに,実世界のAPI実験により,本手法の有効性がさらに証明された。
また,既存の防衛手法を無効にすることで,本手法の実用化の可能性を示す。
関連論文リスト
- Data-Free Hard-Label Robustness Stealing Attack [67.41281050467889]
本稿では,Data-Free Hard-Label Robustness Stealing(DFHL-RS)攻撃について紹介する。
ターゲットモデルのハードラベルをクエリするだけで、モデル精度とロバスト性の両方を盗むことができる。
本手法は,AutoAttackに対して77.86%,頑健な39.51%の精度を実現する。
論文 参考訳(メタデータ) (2023-12-10T16:14:02Z) - Segue: Side-information Guided Generative Unlearnable Examples for
Facial Privacy Protection in Real World [64.4289385463226]
生成不可能な例としては、Segue: Side-information guided Generative unlearnable Exampleを提案する。
転送性を向上させるために,真のラベルや擬似ラベルなどの側面情報を導入する。
JPEG圧縮、敵対的トレーニング、およびいくつかの標準的なデータ拡張に抵抗することができる。
論文 参考訳(メタデータ) (2023-10-24T06:22:37Z) - SCME: A Self-Contrastive Method for Data-free and Query-Limited Model
Extraction Attack [18.998300969035885]
モデル抽出は、代替モデル上で逆例を生成することによって、ターゲットモデルを騙す。
本稿では,偽データの合成におけるクラス間およびクラス内多様性を考慮した,SCME という新しいデータフリーモデル抽出手法を提案する。
論文 参考訳(メタデータ) (2023-10-15T10:41:45Z) - Be Careful What You Smooth For: Label Smoothing Can Be a Privacy Shield
but Also a Catalyst for Model Inversion Attacks [31.658006126446175]
クラス表現型サンプルの生成を目的としたモデルアタック(MIA)に対するラベル平滑化の影響について検討する。
従来のラベルスムーシングはMIAを促進させ、それによってモデルのプライバシリークを増大させる。
ネガティブな要因による平滑化はこの傾向に逆らって,クラス関連情報の抽出を阻害し,プライバシ保護につながることが判明した。
論文 参考訳(メタデータ) (2023-10-10T11:51:12Z) - Unstoppable Attack: Label-Only Model Inversion via Conditional Diffusion
Model [14.834360664780709]
モデルアタック(MIA)は、深層学習モデルの到達不可能なトレーニングセットからプライベートデータを復元することを目的としている。
そこで本研究では,条件拡散モデル(CDM)を応用したMIA手法を開発し,対象ラベル下でのサンプルの回収を行う。
実験結果から,本手法は従来手法よりも高い精度で類似したサンプルをターゲットラベルに生成できることが示唆された。
論文 参考訳(メタデータ) (2023-07-17T12:14:24Z) - Label-Retrieval-Augmented Diffusion Models for Learning from Noisy
Labels [61.97359362447732]
ノイズの多いラベルからの学習は、実際のアプリケーションのための機械学習において、重要かつ長年にわたる問題である。
本稿では,生成モデルの観点からラベルノイズ問題を再構成する。
我々のモデルは、標準的な実世界のベンチマークデータセットで新しいSOTA(State-of-the-art)結果を達成する。
論文 参考訳(メタデータ) (2023-05-31T03:01:36Z) - MOVE: Effective and Harmless Ownership Verification via Embedded
External Features [109.19238806106426]
本稿では,異なる種類のモデル盗難を同時に防ぐために,効果的かつ無害なモデル所有者認証(MOVE)を提案する。
我々は、疑わしいモデルがディフェンダー特定外部特徴の知識を含むかどうかを検証し、所有権検証を行う。
特に、包括的モデル保護を提供するために、ホワイトボックスとブラックボックスの両方の設定でMOVE法を開発した。
論文 参考訳(メタデータ) (2022-08-04T02:22:29Z) - Delving into Data: Effectively Substitute Training for Black-box Attack [84.85798059317963]
本稿では,知識盗むプロセスで使用されるデータの分散設計に焦点をあてた,新しい視点代替トレーニングを提案する。
これら2つのモジュールの組み合わせにより、代替モデルとターゲットモデルの一貫性がさらに向上し、敵攻撃の有効性が大幅に向上する。
論文 参考訳(メタデータ) (2021-04-26T07:26:29Z) - Query-Free Adversarial Transfer via Undertrained Surrogates [14.112444998191698]
本研究では,ブラックボックス環境における敵攻撃の有効性を改善するための新しい手法を提案する。
本稿では, この手法がアーキテクチャ全体にわたって良好に伝達し, 最先端の手法よりも広いマージンで性能を向上することを示す。
論文 参考訳(メタデータ) (2020-07-01T23:12:22Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。