論文の概要: Do Not Trust Prediction Scores for Membership Inference Attacks
- arxiv url: http://arxiv.org/abs/2111.09076v1
- Date: Wed, 17 Nov 2021 12:39:04 GMT
- ステータス: 処理完了
- システム内更新日: 2021-11-18 14:48:31.666023
- Title: Do Not Trust Prediction Scores for Membership Inference Attacks
- Title(参考訳): 会員推論攻撃の予測スコアを信頼しない
- Authors: Dominik Hintersdorf, Lukas Struppek, Kristian Kersting
- Abstract要約: メンバーシップ推論攻撃(MIA)は、特定のサンプルが予測モデルのトレーニングに使用されたかどうかを判断することを目的としている。
これは、多くの現代のディープネットワークアーキテクチャにとって誤りである、と我々は主張する。
トレーニングデータの一部として誤って分類された、潜在的に無限のサンプルを生成できるのです。
- 参考スコア(独自算出の注目度): 15.567057178736402
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Membership inference attacks (MIAs) aim to determine whether a specific
sample was used to train a predictive model. Knowing this may indeed lead to a
privacy breach. Arguably, most MIAs, however, make use of the model's
prediction scores - the probability of each output given some input - following
the intuition that the trained model tends to behave differently on its
training data. We argue that this is a fallacy for many modern deep network
architectures, e.g., ReLU type neural networks produce almost always high
prediction scores far away from the training data. Consequently, MIAs will
miserably fail since this behavior leads to high false-positive rates not only
on known domains but also on out-of-distribution data and implicitly acts as a
defense against MIAs. Specifically, using generative adversarial networks, we
are able to produce a potentially infinite number of samples falsely classified
as part of the training data. In other words, the threat of MIAs is
overestimated and less information is leaked than previously assumed. Moreover,
there is actually a trade-off between the overconfidence of classifiers and
their susceptibility to MIAs: the more classifiers know when they do not know,
making low confidence predictions far away from the training data, the more
they reveal the training data.
- Abstract(参考訳): メンバーシップ推論攻撃(MIA)は、特定のサンプルが予測モデルのトレーニングに使用されたかどうかを決定することを目的としている。
これはプライバシー侵害につながる可能性がある。
しかし、おそらくほとんどのMIAは、トレーニングされたモデルがトレーニングデータに対して異なる振る舞いをする傾向にあるという直感に従って、モデルの予測スコア(各出力の確率)を利用する。
例えば、ReLU型ニューラルネットワークはトレーニングデータから遠く離れたところで、ほぼ常に高い予測スコアを生成する。
その結果、MIAは既知のドメインだけでなく分布外データにも高い偽陽性率をもたらし、MIAに対する防御として暗黙的に作用するため、不幸にも失敗する。
具体的には、生成的敵ネットワークを用いて、トレーニングデータの一部として誤って分類された潜在的無限個のサンプルを生成することができる。
言い換えれば、MIAの脅威は過大評価され、以前想定されていたよりも少ない情報がリークされる。
さらに、分類器の過度な信頼とMIAへの感受性の間には、実際にはトレードオフがある: 分類器がいつ知らないかを知るほど、訓練データから遠く離れたところで信頼性の低い予測を行い、訓練データを明らかにする。
関連論文リスト
- Confidence Is All You Need for MI Attacks [7.743155804758186]
モデルのトレーニングセットにおけるデータポイントのメンバシップを計測する新しい手法を提案する。
トレーニング中、モデルは基本的にトレーニングデータに'適合'しており、目に見えないデータへの一般化において特に困難に直面している可能性がある。
論文 参考訳(メタデータ) (2023-11-26T18:09:24Z) - When Fairness Meets Privacy: Exploring Privacy Threats in Fair Binary Classifiers via Membership Inference Attacks [17.243744418309593]
本研究では,公平度差分結果に基づく公平度向上モデルに対する効率的なMIA手法を提案する。
また、プライバシー漏洩を緩和するための潜在的戦略についても検討する。
論文 参考訳(メタデータ) (2023-11-07T10:28:17Z) - Overconfidence is a Dangerous Thing: Mitigating Membership Inference
Attacks by Enforcing Less Confident Prediction [2.2336243882030025]
機械学習モデルは、メンバシップ推論攻撃(MIA)に対して脆弱である
この研究は、強力なメンバーシップのプライバシと高い精度の両方を、余分なデータを必要とすることなく達成できる防衛技術であるHAMPを提案する。
論文 参考訳(メタデータ) (2023-07-04T09:50:33Z) - Avoid Adversarial Adaption in Federated Learning by Multi-Metric
Investigations [55.2480439325792]
Federated Learning(FL)は、分散機械学習モデルのトレーニング、データのプライバシの保護、通信コストの低減、多様化したデータソースによるモデルパフォーマンスの向上を支援する。
FLは、中毒攻撃、標的外のパフォーマンス劣化とターゲットのバックドア攻撃の両方でモデルの整合性を損なうような脆弱性に直面している。
我々は、複数の目的に同時に適応できる、強い適応的敵の概念を新たに定義する。
MESASは、実際のデータシナリオで有効であり、平均オーバーヘッドは24.37秒である。
論文 参考訳(メタデータ) (2023-06-06T11:44:42Z) - Membership Inference Attacks against Synthetic Data through Overfitting
Detection [84.02632160692995]
我々は、攻撃者が基礎となるデータ分布についてある程度の知識を持っていると仮定する現実的なMIA設定について論じる。
生成モデルの局所的なオーバーフィッティングをターゲットとして,メンバシップを推論することを目的とした密度ベースMIAモデルであるDOMIASを提案する。
論文 参考訳(メタデータ) (2023-02-24T11:27:39Z) - TrustGAN: Training safe and trustworthy deep learning models through
generative adversarial networks [0.0]
信頼度を目標とした生成逆ネットワークパイプラインであるTrustGANを提案する。
パイプラインは、予測とこの予測に対する信頼を出力する任意のディープラーニングモデルを受け入れることができる。
ここでは、MNISTデータに基づいて訓練されたターゲット分類モデルに適用し、画像に基づいて数値を認識する。
論文 参考訳(メタデータ) (2022-11-25T09:57:23Z) - ZigZag: Universal Sampling-free Uncertainty Estimation Through Two-Step Inference [54.17205151960878]
汎用的でデプロイが容易なサンプリング不要のアプローチを導入します。
我々は,最先端手法と同等の信頼性のある不確実性推定を,計算コストを著しく低減した形で生成する。
論文 参考訳(メタデータ) (2022-11-21T13:23:09Z) - RelaxLoss: Defending Membership Inference Attacks without Losing Utility [68.48117818874155]
より達成可能な学習目標を持つ緩和された損失に基づく新しい学習フレームワークを提案する。
RelaxLossは、簡単な実装と無視可能なオーバーヘッドのメリットを加えた任意の分類モデルに適用できる。
当社のアプローチはMIAに対するレジリエンスの観点から,常に最先端の防御機構より優れています。
論文 参考訳(メタデータ) (2022-07-12T19:34:47Z) - Investigating Membership Inference Attacks under Data Dependencies [26.70764798408236]
プライバシーに敏感なデータに基づく機械学習モデルのトレーニングが、プライバシーに深刻な影響を及ぼす可能性のある新たな攻撃の扉を開いた。
そのような攻撃の1つは、メンバーシップ推論攻撃 (MIA) であり、特定のデータポイントがモデルをトレーニングするために使用されたかどうかを公開する。
我々は、訓練セットのすべてのメンバーと非メンバーが独立して同一に分散しているという制限的な仮定の下で、防衛を評価した。
論文 参考訳(メタデータ) (2020-10-23T00:16:46Z) - Knowledge-Enriched Distributional Model Inversion Attacks [49.43828150561947]
モデルインバージョン(MI)攻撃は、モデルパラメータからトレーニングデータを再構成することを目的としている。
本稿では,パブリックデータからプライベートモデルに対する攻撃を行うのに役立つ知識を抽出する,新しい反転型GANを提案する。
実験の結果,これらの手法を組み合わせることで,最先端MI攻撃の成功率を150%向上させることができることがわかった。
論文 参考訳(メタデータ) (2020-10-08T16:20:48Z) - Unlabelled Data Improves Bayesian Uncertainty Calibration under
Covariate Shift [100.52588638477862]
後続正則化に基づく近似ベイズ推定法を開発した。
前立腺癌の予後モデルを世界規模で導入する上で,本手法の有用性を実証する。
論文 参考訳(メタデータ) (2020-06-26T13:50:19Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。