論文の概要: An Efficient Subpopulation-based Membership Inference Attack
- arxiv url: http://arxiv.org/abs/2203.02080v1
- Date: Fri, 4 Mar 2022 00:52:06 GMT
- ステータス: 処理完了
- システム内更新日: 2022-03-07 14:22:03.202720
- Title: An Efficient Subpopulation-based Membership Inference Attack
- Title(参考訳): 効率的なサブポピュレーションに基づくメンバーシップ推論攻撃
- Authors: Shahbaz Rezaei and Xin Liu
- Abstract要約: 我々は、数百のシャドウモデルを訓練する必要のない、根本的に異なるMIアタックアプローチを導入する。
我々は、トレーニングコストを大幅に削減しつつ、最先端の会員推定精度を達成する。
- 参考スコア(独自算出の注目度): 11.172550334631921
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Membership inference attacks allow a malicious entity to predict whether a
sample is used during training of a victim model or not. State-of-the-art
membership inference attacks have shown to achieve good accuracy which poses a
great privacy threat. However, majority of SOTA attacks require training dozens
to hundreds of shadow models to accurately infer membership. This huge
computation cost raises questions about practicality of these attacks on deep
models. In this paper, we introduce a fundamentally different MI attack
approach which obviates the need to train hundreds of shadow models. Simply
put, we compare the victim model output on the target sample versus the samples
from the same subpopulation (i.e., semantically similar samples), instead of
comparing it with the output of hundreds of shadow models. The intuition is
that the model response should not be significantly different between the
target sample and its subpopulation if it was not a training sample. In cases
where subpopulation samples are not available to the attacker, we show that
training only a single generative model can fulfill the requirement. Hence, we
achieve the state-of-the-art membership inference accuracy while significantly
reducing the training computation cost.
- Abstract(参考訳): メンバーシップ推論攻撃により、悪意のあるエンティティは、被害者モデルのトレーニング中にサンプルが使用されているかどうかを予測できる。
最先端の会員推測攻撃は、優れた精度を達成し、プライバシーの脅威を招いている。
しかし、SOTA攻撃の大半は、メンバーシップを正確に推測するために、数十から数百のシャドウモデルへの訓練を必要とする。
この膨大な計算コストは、深層モデルに対するこれらの攻撃の実用性に関する疑問を引き起こす。
本稿では,数百のシャドウモデルを訓練する必要性を回避し,基本的に異なるMI攻撃手法を提案する。
簡単に言えば、ターゲットのサンプルで出力された被害者モデルと、同じサブポピュレーション(意味的に類似したサンプル)のサンプルを比較し、数百のシャドーモデルの出力と比較します。
直観的には、モデル応答は、トレーニングサンプルでなければ、ターゲットサンプルとそのサブポピュレーションの間で著しく異なるべきではない。
攻撃者がサブポピュレーションのサンプルを入手できない場合、訓練は1つの生成モデルだけが要求を満たせることを示す。
これにより,訓練計算コストを大幅に削減しながら,最先端のメンバシップ推定精度を実現することができる。
関連論文リスト
- Membership Inference Attacks on Diffusion Models via Quantile Regression [30.30033625685376]
我々は,家族関係推論(MI)攻撃による拡散モデルのプライバシー上の脆弱性を実証する。
提案したMI攻撃は、トレーニングに使用されていない例における再構成損失の分布を予測(定量化)する量子レグレッションモデルを学習する。
我々の攻撃は従来の最先端攻撃よりも優れており、計算コストは著しく低い。
論文 参考訳(メタデータ) (2023-12-08T16:21:24Z) - Fast Propagation is Better: Accelerating Single-Step Adversarial
Training via Sampling Subnetworks [69.54774045493227]
逆行訓練の欠点は、逆行例の生成によって引き起こされる計算オーバーヘッドである。
モデルの内部構造ブロックを利用して効率を向上させることを提案する。
従来の手法と比較して,本手法はトレーニングコストを削減できるだけでなく,モデルの堅牢性も向上する。
論文 参考訳(メタデータ) (2023-10-24T01:36:20Z) - Scalable Membership Inference Attacks via Quantile Regression [35.33158339354343]
メンバーシップ推論攻撃は、トレーニングで特定の例が使用されたかどうかに関わらず、トレーニングされたモデルへのブラックボックスアクセスを使用して決定するように設計されている。
本稿では,トレーニングに使用されていない点に対する攻撃下でモデルによって誘導される信頼度スコアの分布に基づいて,量子回帰に基づく新たな攻撃方法を提案する。
論文 参考訳(メタデータ) (2023-07-07T16:07:00Z) - Are You Stealing My Model? Sample Correlation for Fingerprinting Deep
Neural Networks [86.55317144826179]
従来の方法は、常にモデル指紋として転送可能な敵の例を利用する。
本稿では,SAmple correlation (SAC) に基づく新しいモデル盗難検出手法を提案する。
SACは、敵の訓練や移動学習を含む様々なモデル盗難攻撃をうまく防いでいる。
論文 参考訳(メタデータ) (2022-10-21T02:07:50Z) - l-Leaks: Membership Inference Attacks with Logits [5.663757165885866]
我々はターゲットモデルへのブラックボックスアクセスに基づく攻撃を提示する。
ターゲットモデルのロジットを学習し、ターゲットモデルとよりよく似たシャドーモデルを構築することにより、シャドーモデルを構築する。
論文 参考訳(メタデータ) (2022-05-13T06:59:09Z) - "What's in the box?!": Deflecting Adversarial Attacks by Randomly
Deploying Adversarially-Disjoint Models [71.91835408379602]
敵の例は長い間、機械学習モデルに対する真の脅威と考えられてきた。
我々は、従来のホワイトボックスやブラックボックスの脅威モデルを超えた、配置ベースの防衛パラダイムを提案する。
論文 参考訳(メタデータ) (2021-02-09T20:07:13Z) - Practical Blind Membership Inference Attack via Differential Comparisons [22.582872789369752]
メンバーシップ推論(MI)攻撃は、特定のデータサンプルがターゲット学習モデルのトレーニングに使用されたかどうかを推測することによって、ユーザのプライバシに影響を与える。
blindmiはターゲットモデルを調査し、差分比較と呼ばれる新しいアプローチでメンバーシップセマンティクスを抽出する。
BlindMIを最先端のMI攻撃アルゴリズムと比較して評価した。
論文 参考訳(メタデータ) (2021-01-05T04:07:15Z) - Learning to Attack: Towards Textual Adversarial Attacking in Real-world
Situations [81.82518920087175]
敵攻撃は、敵の例でディープニューラルネットワークを騙すことを目的としている。
本稿では、攻撃履歴から学習し、より効率的に攻撃を開始することができる強化学習に基づく攻撃モデルを提案する。
論文 参考訳(メタデータ) (2020-09-19T09:12:24Z) - On the Difficulty of Membership Inference Attacks [11.172550334631921]
近年の研究では,深層モデルに対するMI攻撃が提案されている。
明らかな成功にもかかわらず、これらの研究は正のクラス(メンバークラス)の正確さ、正確さ、リコールのみを報告している。
報告されていない偽陽性率や誤警報率(FAR)に悩まされているため,MI攻撃の報告方法が誤解を招くことが多い。
論文 参考訳(メタデータ) (2020-05-27T23:09:17Z) - Adversarial Imitation Attack [63.76805962712481]
現実的な敵攻撃は、攻撃されたモデルの知識をできるだけ少なくする必要がある。
現在の代替攻撃では、敵の例を生成するために事前訓練されたモデルが必要である。
本研究では,新たな敵模倣攻撃を提案する。
論文 参考訳(メタデータ) (2020-03-28T10:02:49Z) - DaST: Data-free Substitute Training for Adversarial Attacks [55.76371274622313]
本研究では,敵対的ブラックボックス攻撃の代替モデルを得るためのデータフリー代替訓練法(DaST)を提案する。
これを実現するため、DaSTは特別に設計されたGANを用いて代替モデルを訓練する。
実験では、代替モデルがベースラインモデルと比較して競争性能を発揮することを示した。
論文 参考訳(メタデータ) (2020-03-28T04:28:13Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。