論文の概要: Privacy Attacks Against Biometric Models with Fewer Samples: Incorporating the Output of Multiple Models

• arxiv url: http://arxiv.org/abs/2209.11020v1
• Date: Thu, 22 Sep 2022 14:00:43 GMT
• ステータス: 処理完了
• システム内更新日: 2022-09-23 14:28:42.672207
• Title: Privacy Attacks Against Biometric Models with Fewer Samples: Incorporating the Output of Multiple Models
• Title（参考訳）: サンプルが少ないバイオメトリックモデルに対するプライバシ攻撃: 複数のモデルのアウトプットを組み込む
• Authors: Sohaib Ahmad, Benjamin Fuller, Kaleel Mahmood
• Abstract要約: 認証システムは、敵がターゲット機械学習モデルの逆を近似するモデル逆攻撃に対して脆弱である。 これは、生体認証モデルを反転させることで、攻撃者が生体認証システムに現実的な生体認証入力を生成できるためである。 本稿では,モデル逆攻撃に必要なトレーニングデータを大幅に削減する手法を提案する。
• 参考スコア（独自算出の注目度）: 2.1874132949602654
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Authentication systems are vulnerable to model inversion attacks where an adversary is able to approximate the inverse of a target machine learning model. Biometric models are a prime candidate for this type of attack. This is because inverting a biometric model allows the attacker to produce a realistic biometric input to spoof biometric authentication systems. One of the main constraints in conducting a successful model inversion attack is the amount of training data required. In this work, we focus on iris and facial biometric systems and propose a new technique that drastically reduces the amount of training data necessary. By leveraging the output of multiple models, we are able to conduct model inversion attacks with 1/10th the training set size of Ahmad and Fuller (IJCB 2020) for iris data and 1/1000th the training set size of Mai et al. (Pattern Analysis and Machine Intelligence 2019) for facial data. We denote our new attack technique as structured random with alignment loss. Our attacks are black-box, requiring no knowledge of the weights of the target neural network, only the dimension, and values of the output vector. To show the versatility of the alignment loss, we apply our attack framework to the task of membership inference (Shokri et al., IEEE S&P 2017) on biometric data. For the iris, membership inference attack against classification networks improves from 52% to 62% accuracy.
• Abstract（参考訳）: 認証システムは、敵がターゲットの機械学習モデルの逆を近似できるモデル反転攻撃に対して脆弱である。 生体モデルはこのタイプの攻撃の第一候補である。 これは、生体認証モデルを反転させることで、攻撃者が生体認証システムに現実的な生体認証入力を生成できるためである。 モデル反転攻撃の成功における主な制約の1つは、必要なトレーニングデータ量である。 本研究では,虹彩と顔面生体計測システムに着目し,必要なトレーニングデータ量を大幅に削減する新しい手法を提案する。 複数のモデルの出力を活用することで、虹彩データにはAhmadとFullerのトレーニングセットサイズ(IJCB 2020)の1/10、顔データにはMai et al.(Pattern Analysis and Machine Intelligence 2019)のトレーニングセットサイズ(IJCB 2020)の1/1000のモデルインバージョンアタックを実行できます。 我々は,新しい攻撃手法をアライメント損失を伴う構造化ランダムと表現する。 我々の攻撃はブラックボックスであり、ターゲットのニューラルネットワークの重み、寸法、出力ベクトルの値の知識を必要としない。 このアライメント損失の汎用性を示すため,バイオメトリックスデータ上でのアライメント推論(Shokri et al., IEEE S&P 2017)にアタック・フレームワークを適用した。 虹彩の場合、分類ネットワークに対する会員推測攻撃は52%から62%に改善される。

関連論文リスト

• Membership Inference Attacks on Diffusion Models via Quantile Regression [30.30033625685376]
  我々は,家族関係推論(MI)攻撃による拡散モデルのプライバシー上の脆弱性を実証する。 提案したMI攻撃は、トレーニングに使用されていない例における再構成損失の分布を予測(定量化)する量子レグレッションモデルを学習する。 我々の攻撃は従来の最先端攻撃よりも優れており、計算コストは著しく低い。
  論文  参考訳（メタデータ） (2023-12-08T16:21:24Z)
• Fault Injection and Safe-Error Attack for Extraction of Embedded Neural Network Models [1.2499537119440245]
  モノのインターネット(IoT)における32ビットマイクロコントローラの組み込みディープニューラルネットワークモデルに焦点をあてる。 攻撃を成功させるためのブラックボックス手法を提案する。 古典的畳み込みニューラルネットワークでは、1500個の入力で最も重要なビットの少なくとも90%を回復することに成功した。
  論文  参考訳（メタデータ） (2023-08-31T13:09:33Z)
• One-bit Flip is All You Need: When Bit-flip Attack Meets Model Training [54.622474306336635]
  メモリフォールトインジェクション技術を利用したビットフリップ攻撃(BFA)と呼ばれる新たな重み修正攻撃が提案された。 本稿では,高リスクモデルを構築するための訓練段階に敵が関与する,訓練支援ビットフリップ攻撃を提案する。
  論文  参考訳（メタデータ） (2023-08-12T09:34:43Z)
• Boosting Model Inversion Attacks with Adversarial Examples [26.904051413441316]
  ブラックボックス設定において、より高い攻撃精度を達成できる学習ベースモデル反転攻撃のための新しい訓練パラダイムを提案する。 まず,攻撃モデルの学習過程を,意味的損失関数を追加して規則化する。 第2に、学習データに逆例を注入し、クラス関連部の多様性を高める。
  論文  参考訳（メタデータ） (2023-06-24T13:40:58Z)
• A Plot is Worth a Thousand Words: Model Information Stealing Attacks via Scientific Plots [14.998272283348152]
  敵がターゲットのMLモデルの出力を利用してモデルの情報を盗むことはよく知られている。 我々は、モデル情報盗難攻撃、すなわちモデルの科学的プロットのための新しいサイドチャネルを提案する。
  論文  参考訳（メタデータ） (2023-02-23T12:57:34Z)
• Pseudo Label-Guided Model Inversion Attack via Conditional Generative Adversarial Network [102.21368201494909]
  モデル反転(MI)攻撃はプライバシーに対する懸念を高めている。 近年のMI攻撃では,探索空間を狭める前にGAN(Generative Adversarial Network)を画像として活用している。 我々は条件付きGAN(cGAN)による擬似ラベル誘導MI(PLG-MI)攻撃を提案する。
  論文  参考訳（メタデータ） (2023-02-20T07:29:34Z)
• Hidden Backdoor Attack against Semantic Segmentation Models [60.0327238844584]
  Emphbackdoor攻撃は、深層ニューラルネットワーク(DNN)に隠れたバックドアを埋め込み、トレーニングデータに毒を盛ることを目的としている。 我々は,対象ラベルを画像レベルではなくオブジェクトレベルから扱う,新たな攻撃パラダイムであるemphfine-fine-grained attackを提案する。 実験により、提案手法はわずかなトレーニングデータだけを毒殺することでセマンティックセグメンテーションモデルを攻撃することに成功した。
  論文  参考訳（メタデータ） (2021-03-06T05:50:29Z)
• Practical No-box Adversarial Attacks against DNNs [31.808770437120536]
  我々は、攻撃者がモデル情報やトレーニングセットにアクセスしたり、モデルに問い合わせたりできない、ノンボックスの逆例を調査する。 非常に小さなデータセットでトレーニングを行うための3つのメカニズムを提案し、プロトタイプの再構築が最も効果的であることを示す。 提案手法は, システムの平均予測精度を15.40%に低下させ, 事前学習したArcfaceモデルから, 敵のサンプルを転送する攻撃と同等にする。
  論文  参考訳（メタデータ） (2020-12-04T11:10:03Z)
• Knowledge-Enriched Distributional Model Inversion Attacks [49.43828150561947]
  モデルインバージョン(MI)攻撃は、モデルパラメータからトレーニングデータを再構成することを目的としている。 本稿では,パブリックデータからプライベートモデルに対する攻撃を行うのに役立つ知識を抽出する,新しい反転型GANを提案する。 実験の結果,これらの手法を組み合わせることで,最先端MI攻撃の成功率を150%向上させることができることがわかった。
  論文  参考訳（メタデータ） (2020-10-08T16:20:48Z)
• Learning to Attack: Towards Textual Adversarial Attacking in Real-world Situations [81.82518920087175]
  敵攻撃は、敵の例でディープニューラルネットワークを騙すことを目的としている。 本稿では、攻撃履歴から学習し、より効率的に攻撃を開始することができる強化学習に基づく攻撃モデルを提案する。
  論文  参考訳（メタデータ） (2020-09-19T09:12:24Z)
• How Does Data Augmentation Affect Privacy in Machine Learning? [94.52721115660626]
  拡張データの情報を活用するために,新たなMI攻撃を提案する。 モデルが拡張データで訓練された場合、最適な会員推定値を確立する。
  論文  参考訳（メタデータ） (2020-07-21T02:21:10Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。