論文の概要: Membership-Doctor: Comprehensive Assessment of Membership Inference Against Machine Learning Models

• arxiv url: http://arxiv.org/abs/2208.10445v1
• Date: Mon, 22 Aug 2022 17:00:53 GMT
• ステータス: 処理完了
• システム内更新日: 2022-08-23 14:41:38.639505
• Title: Membership-Doctor: Comprehensive Assessment of Membership Inference Against Machine Learning Models
• Title（参考訳）: メンバーシップ・ドクター:機械学習モデルに対するメンバーシップ推論の総合的評価
• Authors: Xinlei He and Zheng Li and Weilin Xu and Cory Cornelius and Yang Zhang
• Abstract要約: 本稿では,様々なメンバーシップ推論攻撃と防衛の大規模測定を行う。 脅威モデル(例えば、同一構造や、シャドーモデルとターゲットモデルとの同一分布)のいくつかの仮定は不要である。 また、実験室のデータセットではなく、インターネットから収集された実世界のデータに対する攻撃を最初に実施しました。
• 参考スコア（独自算出の注目度）: 11.842337448801066
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Machine learning models are prone to memorizing sensitive data, making them vulnerable to membership inference attacks in which an adversary aims to infer whether an input sample was used to train the model. Over the past few years, researchers have produced many membership inference attacks and defenses. However, these attacks and defenses employ a variety of strategies and are conducted in different models and datasets. The lack of comprehensive benchmark, however, means we do not understand the strengths and weaknesses of existing attacks and defenses. We fill this gap by presenting a large-scale measurement of different membership inference attacks and defenses. We systematize membership inference through the study of nine attacks and six defenses and measure the performance of different attacks and defenses in the holistic evaluation. We then quantify the impact of the threat model on the results of these attacks. We find that some assumptions of the threat model, such as same-architecture and same-distribution between shadow and target models, are unnecessary. We are also the first to execute attacks on the real-world data collected from the Internet, instead of laboratory datasets. We further investigate what determines the performance of membership inference attacks and reveal that the commonly believed overfitting level is not sufficient for the success of the attacks. Instead, the Jensen-Shannon distance of entropy/cross-entropy between member and non-member samples correlates with attack performance much better. This gives us a new way to accurately predict membership inference risks without running the attack. Finally, we find that data augmentation degrades the performance of existing attacks to a larger extent, and we propose an adaptive attack using augmentation to train shadow and attack models that improve attack performance.
• Abstract（参考訳）: 機械学習モデルはセンシティブなデータを記憶する傾向があり、敵がモデルのトレーニングに入力サンプルを使用したかどうかを推測するメンバーシップ推論攻撃に対して脆弱である。 過去数年間、研究者は多くのメンバーシップ推論攻撃と防御を生み出してきた。 しかし、これらの攻撃と防御は様々な戦略を採用し、異なるモデルとデータセットで実行される。 しかし、包括的なベンチマークの欠如は、既存の攻撃と防御の強さと弱点を理解していないことを意味する。 このギャップを埋めるために、様々なメンバーシップ推論攻撃と防御の大規模測定を行った。 我々は9つの攻撃と6つの防御の研究を通してメンバーシップ推論を体系化し、総合評価において異なる攻撃と防御のパフォーマンスを測定する。 次に、これらの攻撃結果に対する脅威モデルの影響を定量化する。 同一アーキテクチャやシャドウモデルとターゲットモデルの同一分布といった脅威モデルのいくつかの仮定は不要であることがわかった。 また、実験室のデータセットではなく、インターネットから収集された実世界のデータに対する攻撃を最初に実施しました。 さらに, メンバシップ推論攻撃の性能を決定する要因について検討し, 過適合レベルが攻撃の成功に十分でないことを明らかにする。 代わりに、部材と非部材のエントロピー/クロスエントロピーのジェンセン-シャノン距離は、攻撃性能と相関する。 これにより、攻撃を実行することなく、メンバシップ推論のリスクを正確に予測する新しい方法が得られます。 最後に,データ拡張により既存攻撃の性能が大幅に低下することが判明し,攻撃性能を向上させるためにシャドートレーニングとアタックモデルにアダプティブアタックを用いた適応攻撃を提案する。

関連論文リスト

• Efficient Data-Free Model Stealing with Label Diversity [22.8804507954023]
  マシンラーニング・アズ・ア・サービス(ML)は、ユーザがAPI形式で機械学習モデルに問い合わせることを可能にし、価値あるデータに基づいてトレーニングされた高性能モデルによるメリットを享受する機会を提供する。 このインターフェースは機械学習ベースのアプリケーションの増殖を促進する一方で、モデル盗難攻撃のための攻撃面を導入している。 既存のモデル盗難攻撃は、有効性を保ちながら、攻撃想定をデータフリー設定に緩和した。 本稿では,多様性の観点からモデルを盗む問題を再考し,生成したデータサンプルをすべてのクラスに多様性を持たせることが重要なポイントであることを実証する。
  論文  参考訳（メタデータ） (2024-03-29T18:52:33Z)
• Avoid Adversarial Adaption in Federated Learning by Multi-Metric Investigations [55.2480439325792]
  Federated Learning(FL)は、分散機械学習モデルのトレーニング、データのプライバシの保護、通信コストの低減、多様化したデータソースによるモデルパフォーマンスの向上を支援する。 FLは、中毒攻撃、標的外のパフォーマンス劣化とターゲットのバックドア攻撃の両方でモデルの整合性を損なうような脆弱性に直面している。 我々は、複数の目的に同時に適応できる、強い適応的敵の概念を新たに定義する。 MESASは、実際のデータシナリオで有効であり、平均オーバーヘッドは24.37秒である。
  論文  参考訳（メタデータ） (2023-06-06T11:44:42Z)
• The Space of Adversarial Strategies [6.295859509997257]
  機械学習モデルにおける最悪のケース動作を誘発するインプットである逆例は、過去10年間に広く研究されてきた。 最悪の場合(すなわち最適な)敵を特徴づける体系的なアプローチを提案する。
  論文  参考訳（メタデータ） (2022-09-09T20:53:11Z)
• Delving into Data: Effectively Substitute Training for Black-box Attack [84.85798059317963]
  本稿では,知識盗むプロセスで使用されるデータの分散設計に焦点をあてた,新しい視点代替トレーニングを提案する。 これら2つのモジュールの組み合わせにより、代替モデルとターゲットモデルの一貫性がさらに向上し、敵攻撃の有効性が大幅に向上する。
  論文  参考訳（メタデータ） (2021-04-26T07:26:29Z)
• Membership Inference Attacks on Machine Learning: A Survey [6.468846906231666]
  メンバシップ推論攻撃は、データサンプルがマシンラーニングモデルのトレーニングに使用されたかどうかを識別することを目的としている。 会員が個人の機密情報を開示できるため、深刻なプライバシーリスクを引き起こす可能性があります。 会員の推論攻撃に関する最初の包括的な調査を紹介します。
  論文  参考訳（メタデータ） (2021-03-14T06:10:47Z)
• ML-Doctor: Holistic Risk Assessment of Inference Attacks Against Machine Learning Models [64.03398193325572]
  機械学習(ML)モデルに対する推論攻撃により、敵はトレーニングデータやモデルパラメータなどを学ぶことができる。 私たちは、メンバシップ推論、モデル反転、属性推論、モデル盗難の4つの攻撃に集中しています。 私たちの分析では、MLモデルオーナがモデルをデプロイするリスクを評価することができる、モジュール化された再使用可能なソフトウェアであるML-Doctorに依存しています。
  論文  参考訳（メタデータ） (2021-02-04T11:35:13Z)
• Learning to Attack: Towards Textual Adversarial Attacking in Real-world Situations [81.82518920087175]
  敵攻撃は、敵の例でディープニューラルネットワークを騙すことを目的としている。 本稿では、攻撃履歴から学習し、より効率的に攻撃を開始することができる強化学習に基づく攻撃モデルを提案する。
  論文  参考訳（メタデータ） (2020-09-19T09:12:24Z)
• Sampling Attacks: Amplification of Membership Inference Attacks by Repeated Queries [74.59376038272661]
  本手法は,他の標準メンバーシップ相手と異なり,被害者モデルのスコアにアクセスできないような厳格な制限の下で動作可能な,新しいメンバーシップ推論手法であるサンプリングアタックを導入する。 ラベルのみを公開している被害者モデルでは,攻撃のサンプリングが引き続き可能であり,攻撃者はその性能の最大100%を回復できることを示す。 防衛においては,被害者モデルのトレーニング中の勾配摂動と予測時の出力摂動の形式で差分プライバシーを選択する。
  論文  参考訳（メタデータ） (2020-09-01T12:54:54Z)
• Membership Leakage in Label-Only Exposures [10.875144776014533]
  本稿では,機械学習モデルに対する決定に基づくメンバシップ推論攻撃を提案する。 特に、転送攻撃と境界攻撃という2種類の意思決定ベースの攻撃を考案する。 また,量的および質的分析に基づく会員推定の成功に関する新たな知見も提示する。
  論文  参考訳（メタデータ） (2020-07-30T15:27:55Z)
• Label-Only Membership Inference Attacks [67.46072950620247]
  ラベルのみのメンバシップ推論攻撃を導入する。 我々の攻撃は、摂動下でのモデルが予測するラベルの堅牢性を評価する。 差分プライバシーと(強い)L2正規化を備えたトレーニングモデルは、唯一知られている防衛戦略である。
  論文  参考訳（メタデータ） (2020-07-28T15:44:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。