論文の概要: Label-Only Model Inversion Attacks via Boundary Repulsion

• arxiv url: http://arxiv.org/abs/2203.01925v1
• Date: Thu, 3 Mar 2022 18:57:57 GMT
• ステータス: 処理完了
• システム内更新日: 2022-03-04 16:36:53.842418
• Title: Label-Only Model Inversion Attacks via Boundary Repulsion
• Title（参考訳）: 境界反発によるラベルのみモデル反転攻撃
• Authors: Mostafa Kahla, Si Chen, Hoang Anh Just, Ruoxi Jia
• Abstract要約: 対象モデルの予測ラベルのみを用いて,プライベートトレーニングデータを逆転するアルゴリズムを提案する。 顔認識の例を用いて、BREP-MIで再構成した画像は、プライベートトレーニングデータのセマンティクスを再現することに成功した。
• 参考スコア（独自算出の注目度）: 12.374249336222906
• License: http://creativecommons.org/licenses/by-sa/4.0/
• Abstract: Recent studies show that the state-of-the-art deep neural networks are vulnerable to model inversion attacks, in which access to a model is abused to reconstruct private training data of any given target class. Existing attacks rely on having access to either the complete target model (whitebox) or the model's soft-labels (blackbox). However, no prior work has been done in the harder but more practical scenario, in which the attacker only has access to the model's predicted label, without a confidence measure. In this paper, we introduce an algorithm, Boundary-Repelling Model Inversion (BREP-MI), to invert private training data using only the target model's predicted labels. The key idea of our algorithm is to evaluate the model's predicted labels over a sphere and then estimate the direction to reach the target class's centroid. Using the example of face recognition, we show that the images reconstructed by BREP-MI successfully reproduce the semantics of the private training data for various datasets and target model architectures. We compare BREP-MI with the state-of-the-art whitebox and blackbox model inversion attacks and the results show that despite assuming less knowledge about the target model, BREP-MI outperforms the blackbox attack and achieves comparable results to the whitebox attack.
• Abstract（参考訳）: 最近の研究では、最先端のディープニューラルネットワークは、特定のターゲットクラスのプライベートトレーニングデータを再構築するためにモデルへのアクセスを乱用するモデル反転攻撃に対して脆弱であることが示されている。 既存の攻撃は、完全なターゲットモデル(ホワイトボックス)またはモデルのソフトラベル(ブラックボックス)へのアクセスに依存する。 しかし、より難しいがより実用的なシナリオでは、攻撃者が信頼度尺度なしでモデルの予測ラベルへのアクセスしかできないという、事前の作業は行われていない。 本稿では,対象モデルの予測ラベルのみを用いて,プライベートトレーニングデータを反転させるアルゴリズム,Bundary-Repelling Model Inversion (BREP-MI)を提案する。 我々のアルゴリズムの重要なアイデアは、モデルが予測したラベルを球面上で評価し、ターゲットクラスの中心点に到達する方向を推定することである。 顔認識の例を用いて、BREP-MIで再構成した画像は、様々なデータセットやターゲットモデルアーキテクチャのためのプライベートトレーニングデータのセマンティクスを再現することに成功した。 brep-miを最先端のホワイトボックスおよびブラックボックスモデルの反転攻撃と比較した結果、ターゲットモデルに関する知識が少ないにもかかわらず、brep-miはブラックボックス攻撃よりも優れており、ホワイトボックス攻撃と同等の結果が得られることがわかった。

関連論文リスト

• Prediction Exposes Your Face: Black-box Model Inversion via Prediction Alignment [24.049615035939237]
  モデル反転(MI)攻撃は、その出力から対象モデルのプライベートトレーニングデータを再構成する。 ブラックボックスMI攻撃のための予測画像P2I手法を提案する。 本手法は,攻撃精度を8.5%向上し,データセットCelebAのクエリ数を99%削減する。
  論文  参考訳（メタデータ） (2024-07-11T01:58:35Z)
• DREAM: Domain-free Reverse Engineering Attributes of Black-box Model [51.37041886352823]
  ブラックボックス対象モデルの属性をドメインに依存しないリバースエンジニアリングの新しい問題を提案する。 対象のブラックボックスモデルの属性を未知のトレーニングデータで推測するために,ドメインに依存しないモデルを学ぶ。
  論文  参考訳（メタデータ） (2023-07-20T16:25:58Z)
• Unstoppable Attack: Label-Only Model Inversion via Conditional Diffusion Model [14.834360664780709]
  モデルアタック(MIA)は、深層学習モデルの到達不可能なトレーニングセットからプライベートデータを復元することを目的としている。 そこで本研究では,条件拡散モデル(CDM)を応用したMIA手法を開発し,対象ラベル下でのサンプルの回収を行う。 実験結果から,本手法は従来手法よりも高い精度で類似したサンプルをターゲットラベルに生成できることが示唆された。
  論文  参考訳（メタデータ） (2023-07-17T12:14:24Z)
• Reinforcement Learning-Based Black-Box Model Inversion Attacks [23.30144908939099]
  モデル反転攻撃は、機械学習モデルのトレーニングに使用されるプライベートデータを再構築する。 パブリックデータセットから知識を抽出するためにGAN(Generative Adversarial Networks)を利用したホワイトボックスモデルインバージョン攻撃が注目されている。 強化学習に基づくブラックボックスモデルインバージョン攻撃を提案する。
  論文  参考訳（メタデータ） (2023-04-10T14:41:16Z)
• Model Inversion Attacks against Graph Neural Networks [65.35955643325038]
  グラフニューラルネットワーク(GNN)に対するモデル反転攻撃について検討する。 本稿では,プライベートトレーニンググラフデータを推測するためにGraphMIを提案する。 実験の結果,このような防御効果は十分ではないことが示され,プライバシー攻撃に対するより高度な防御が求められている。
  論文  参考訳（メタデータ） (2022-09-16T09:13:43Z)
• Label-only Model Inversion Attack: The Attack that Requires the Least Information [14.061083728194378]
  モデル反転攻撃では、敵はモデル出力のみを使用してターゲットモデルをトレーニングするために使用されるデータレコードを再構築しようと試みる。 出力ラベルのみに基づいて入力データレコードを再構成できるモデル逆変換法が発見された。
  論文  参考訳（メタデータ） (2022-03-13T03:03:49Z)
• Delving into Data: Effectively Substitute Training for Black-box Attack [84.85798059317963]
  本稿では,知識盗むプロセスで使用されるデータの分散設計に焦点をあてた,新しい視点代替トレーニングを提案する。 これら2つのモジュールの組み合わせにより、代替モデルとターゲットモデルの一貫性がさらに向上し、敵攻撃の有効性が大幅に向上する。
  論文  参考訳（メタデータ） (2021-04-26T07:26:29Z)
• Hidden Backdoor Attack against Semantic Segmentation Models [60.0327238844584]
  Emphbackdoor攻撃は、深層ニューラルネットワーク(DNN)に隠れたバックドアを埋め込み、トレーニングデータに毒を盛ることを目的としている。 我々は,対象ラベルを画像レベルではなくオブジェクトレベルから扱う,新たな攻撃パラダイムであるemphfine-fine-grained attackを提案する。 実験により、提案手法はわずかなトレーニングデータだけを毒殺することでセマンティックセグメンテーションモデルを攻撃することに成功した。
  論文  参考訳（メタデータ） (2021-03-06T05:50:29Z)
• Knowledge-Enriched Distributional Model Inversion Attacks [49.43828150561947]
  モデルインバージョン(MI)攻撃は、モデルパラメータからトレーニングデータを再構成することを目的としている。 本稿では,パブリックデータからプライベートモデルに対する攻撃を行うのに役立つ知識を抽出する,新しい反転型GANを提案する。 実験の結果,これらの手法を組み合わせることで,最先端MI攻撃の成功率を150%向上させることができることがわかった。
  論文  参考訳（メタデータ） (2020-10-08T16:20:48Z)
• Boosting Black-Box Attack with Partially Transferred Conditional Adversarial Distribution [83.02632136860976]
  深層ニューラルネットワーク(DNN)に対するブラックボックス攻撃の研究 我々は, 代理バイアスに対して頑健な, 対向移動可能性の新たなメカニズムを開発する。 ベンチマークデータセットの実験と実世界のAPIに対する攻撃は、提案手法の優れた攻撃性能を示す。
  論文  参考訳（メタデータ） (2020-06-15T16:45:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。