論文の概要: Label-only Model Inversion Attack: The Attack that Requires the Least Information

• arxiv url: http://arxiv.org/abs/2203.06555v1
• Date: Sun, 13 Mar 2022 03:03:49 GMT
• ステータス: 処理完了
• システム内更新日: 2022-03-15 16:50:20.450468
• Title: Label-only Model Inversion Attack: The Attack that Requires the Least Information
• Title（参考訳）: ラベルのみのモデル反転攻撃:最小情報を必要とする攻撃
• Authors: Dayong Ye and Tianqing Zhu and Shuai Zhou and Bo Liu and Wanlei Zhou
• Abstract要約: モデル反転攻撃では、敵はモデル出力のみを使用してターゲットモデルをトレーニングするために使用されるデータレコードを再構築しようと試みる。 出力ラベルのみに基づいて入力データレコードを再構成できるモデル逆変換法が発見された。
• 参考スコア（独自算出の注目度）: 14.061083728194378
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: In a model inversion attack, an adversary attempts to reconstruct the data records, used to train a target model, using only the model's output. In launching a contemporary model inversion attack, the strategies discussed are generally based on either predicted confidence score vectors, i.e., black-box attacks, or the parameters of a target model, i.e., white-box attacks. However, in the real world, model owners usually only give out the predicted labels; the confidence score vectors and model parameters are hidden as a defense mechanism to prevent such attacks. Unfortunately, we have found a model inversion method that can reconstruct the input data records based only on the output labels. We believe this is the attack that requires the least information to succeed and, therefore, has the best applicability. The key idea is to exploit the error rate of the target model to compute the median distance from a set of data records to the decision boundary of the target model. The distance, then, is used to generate confidence score vectors which are adopted to train an attack model to reconstruct the data records. The experimental results show that highly recognizable data records can be reconstructed with far less information than existing methods.
• Abstract（参考訳）: モデル反転攻撃では、敵はモデル出力のみを使用してターゲットモデルをトレーニングするために使用されるデータレコードを再構築しようとする。 現代のモデル反転攻撃を開始する際、議論される戦略は一般的に予測された信頼度スコアベクトル、すなわちブラックボックス攻撃またはターゲットモデルのパラメータ、すなわちホワイトボックス攻撃に基づいている。 しかし、実際の世界では、モデル所有者は予測されたラベルのみを出力し、信頼スコアベクトルとモデルパラメータはそのような攻撃を防ぐための防御メカニズムとして隠されている。 残念なことに、出力ラベルのみに基づいて入力データレコードを再構成できるモデル逆変換法が見つかった。 これは最も少ない情報を必要とする攻撃であり、最適な適用性があると信じています。 鍵となる考え方は、ターゲットモデルの誤差率を利用して、データレコードの集合からターゲットモデルの決定境界までの中央値距離を計算することである。 距離は、アタックモデルをトレーニングしてデータレコードを再構築するために使用される信頼スコアベクトルを生成するために使用される。 実験の結果,高認識性の高いデータレコードは,既存の方法よりもはるかに少ない情報で再構築できることがわかった。

関連論文リスト

• Beyond Labeling Oracles: What does it mean to steal ML models? [52.63413852460003]
  モデル抽出攻撃は、クエリアクセスのみで訓練されたモデルを盗むように設計されている。 モデル抽出攻撃の成功に影響を及ぼす要因について検討する。 我々は,ME攻撃の敵の目標を再定義するようコミュニティに促した。
  論文  参考訳（メタデータ） (2023-10-03T11:10:21Z)
• Data-Free Model Extraction Attacks in the Context of Object Detection [0.6719751155411076]
  多くの機械学習モデルは、モデル抽出攻撃に対して脆弱である。 本研究では,オブジェクト検出における境界ボックス座標の予測のための回帰問題に拡張した逆ブラックボックス攻撃を提案する。 提案したモデル抽出法は,妥当なクエリを用いて有意な結果が得られることがわかった。
  論文  参考訳（メタデータ） (2023-08-09T06:23:54Z)
• Unstoppable Attack: Label-Only Model Inversion via Conditional Diffusion Model [14.834360664780709]
  モデルアタック(MIA)は、深層学習モデルの到達不可能なトレーニングセットからプライベートデータを復元することを目的としている。 そこで本研究では,条件拡散モデル(CDM)を応用したMIA手法を開発し,対象ラベル下でのサンプルの回収を行う。 実験結果から,本手法は従来手法よりも高い精度で類似したサンプルをターゲットラベルに生成できることが示唆された。
  論文  参考訳（メタデータ） (2023-07-17T12:14:24Z)
• Query Efficient Cross-Dataset Transferable Black-Box Attack on Action Recognition [99.29804193431823]
  ブラックボックスの敵攻撃は、行動認識システムに現実的な脅威をもたらす。 本稿では,摂動を発生させることにより,これらの欠点に対処する新たな行動認識攻撃を提案する。 提案手法は,最先端のクエリベースおよび転送ベース攻撃と比較して,8%,12%の偽装率を達成する。
  論文  参考訳（メタデータ） (2022-11-23T17:47:49Z)
• Label-Only Model Inversion Attacks via Boundary Repulsion [12.374249336222906]
  対象モデルの予測ラベルのみを用いて,プライベートトレーニングデータを逆転するアルゴリズムを提案する。 顔認識の例を用いて、BREP-MIで再構成した画像は、プライベートトレーニングデータのセマンティクスを再現することに成功した。
  論文  参考訳（メタデータ） (2022-03-03T18:57:57Z)
• Probing Model Signal-Awareness via Prediction-Preserving Input Minimization [67.62847721118142]
  モデルが正しい脆弱性信号を捕捉して予測する能力を評価する。 SAR(Signal-Aware Recall)と呼ばれる新しい指標を用いて,モデルの信号認識を計測する。 その結果,90年代以降のリコールから60年代以降のリコールは,新たな指標で大幅に減少した。
  論文  参考訳（メタデータ） (2020-11-25T20:05:23Z)
• Knowledge-Enriched Distributional Model Inversion Attacks [49.43828150561947]
  モデルインバージョン(MI)攻撃は、モデルパラメータからトレーニングデータを再構成することを目的としている。 本稿では,パブリックデータからプライベートモデルに対する攻撃を行うのに役立つ知識を抽出する,新しい反転型GANを提案する。 実験の結果,これらの手法を組み合わせることで,最先端MI攻撃の成功率を150%向上させることができることがわかった。
  論文  参考訳（メタデータ） (2020-10-08T16:20:48Z)
• Learning to Attack: Towards Textual Adversarial Attacking in Real-world Situations [81.82518920087175]
  敵攻撃は、敵の例でディープニューラルネットワークを騙すことを目的としている。 本稿では、攻撃履歴から学習し、より効率的に攻撃を開始することができる強化学習に基づく攻撃モデルを提案する。
  論文  参考訳（メタデータ） (2020-09-19T09:12:24Z)
• MAZE: Data-Free Model Stealing Attack Using Zeroth-Order Gradient Estimation [14.544507965617582]
  モデルステアリング(MS)攻撃により、機械学習モデルへのブラックボックスアクセスを持つ敵が機能を複製し、モデルの機密性を損なうことができる。 本稿では,ゼロ階勾配推定を用いたデータフリーモデル盗難攻撃法MAZEを提案する。 以前の研究とは対照的に、MAZEはいかなるデータも必要とせず、生成モデルを用いて合成データを生成する。
  論文  参考訳（メタデータ） (2020-05-06T22:26:18Z)
• Adversarial Imitation Attack [63.76805962712481]
  現実的な敵攻撃は、攻撃されたモデルの知識をできるだけ少なくする必要がある。 現在の代替攻撃では、敵の例を生成するために事前訓練されたモデルが必要である。 本研究では,新たな敵模倣攻撃を提案する。
  論文  参考訳（メタデータ） (2020-03-28T10:02:49Z)
• Membership Inference Attacks Against Object Detection Models [1.0467092641687232]
  ブラックボックスオブジェクト検出モデルに対する最初のメンバシップ推論攻撃を示す。 我々は,1段階および2段階検出モデルを用いて訓練した個人機密データの登録状況を明らかにした。 その結果、オブジェクト検出モデルは、他のモデルのような推論攻撃にも弱いことが判明した。
  論文  参考訳（メタデータ） (2020-01-12T23:17:45Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。