論文の概要: Marich: A Query-efficient Distributionally Equivalent Model Extraction
Attack using Public Data
- arxiv url: http://arxiv.org/abs/2302.08466v1
- Date: Thu, 16 Feb 2023 18:20:27 GMT
- ステータス: 処理完了
- システム内更新日: 2023-02-17 13:02:02.575713
- Title: Marich: A Query-efficient Distributionally Equivalent Model Extraction
Attack using Public Data
- Title(参考訳): Marich: 公開データを用いたクエリ効率の高い分散等価モデル抽出攻撃
- Authors: Pratik Karmakar and Debabrota Basu
- Abstract要約: 我々は、攻撃者が公開APIを通じてのみ機械学習モデルに問い合わせることができるブラックボックスモデル盗難攻撃について研究する。
具体的には,最小数のクエリを用いてターゲットモデルの情報的かつ分布的に等価なレプリカを生成するブラックボックスモデル抽出攻撃を設計することを目的とする。
Marich氏は、真のモデルの精度の69~96%を達成し、公開クエリデータセットから1070~6,950ドルのサンプルを使用するモデルを抽出することができる。
- 参考スコア(独自算出の注目度): 4.964737844687583
- License: http://creativecommons.org/licenses/by-sa/4.0/
- Abstract: We study black-box model stealing attacks where the attacker can query a
machine learning model only through publicly available APIs. Specifically, our
aim is to design a black-box model extraction attack that uses minimal number
of queries to create an informative and distributionally equivalent replica of
the target model. First, we define distributionally equivalent and
max-information model extraction attacks. Then, we reduce both the attacks into
a variational optimisation problem. The attacker solves this problem to select
the most informative queries that simultaneously maximise the entropy and
reduce the mismatch between the target and the stolen models. This leads us to
an active sampling-based query selection algorithm, Marich. We evaluate Marich
on different text and image data sets, and different models, including BERT and
ResNet18. Marich is able to extract models that achieve $69-96\%$ of true
model's accuracy and uses $1,070 - 6,950$ samples from the publicly available
query datasets, which are different from the private training datasets. Models
extracted by Marich yield prediction distributions, which are $\sim2-4\times$
closer to the target's distribution in comparison to the existing active
sampling-based algorithms. The extracted models also lead to $85-95\%$ accuracy
under membership inference attacks. Experimental results validate that Marich
is query-efficient, and also capable of performing task-accurate,
high-fidelity, and informative model extraction.
- Abstract(参考訳): 我々は、攻撃者が公開APIを通じてのみ機械学習モデルをクエリできるブラックボックスモデル盗難攻撃について研究する。
具体的には,最小数のクエリを用いてターゲットモデルの情報的かつ分布的に等価なレプリカを生成するブラックボックスモデル抽出攻撃を設計することを目的とする。
まず,分布同値および最大情報モデル抽出攻撃を定義する。
そして,この2つの攻撃を変動最適化問題に還元する。
攻撃者はこの問題を解決し、同時にエントロピーを最大化し、ターゲットと盗難モデルのミスマッチを低減する最も情報性の高いクエリを選択する。
これにより、アクティブなサンプリングベースのクエリ選択アルゴリズムMarichが得られる。
我々は、異なるテキストと画像データセットとBERTやResNet18を含む異なるモデルに基づいて、Marichを評価する。
marichは、true modelの精度の69-96\%$のモデルを抽出することができ、プライベートトレーニングデータセットとは異なる公開クエリデータセットから1,070 - 6,950$のサンプルを使用する。
Marich の収率予測分布から抽出したモデルは、既存のアクティブサンプリングベースアルゴリズムと比較してターゲットの分布に近い$\sim2-4\times$である。
抽出されたモデルはまた、メンバーシップ推論攻撃で85-95\%の精度をもたらす。
実験結果から,Marichは問合せ効率が高く,タスク精度,高忠実度,情報モデル抽出が可能であることが確認された。
関連論文リスト
- Rejection via Learning Density Ratios [50.91522897152437]
拒絶による分類は、モデルを予測しないことを許容する学習パラダイムとして現れます。
そこで我々は,事前学習したモデルの性能を最大化する理想的なデータ分布を求める。
私たちのフレームワークは、クリーンでノイズの多いデータセットで実証的にテストされます。
論文 参考訳(メタデータ) (2024-05-29T01:32:17Z) - MEAOD: Model Extraction Attack against Object Detectors [45.817537875368956]
モデル抽出攻撃は、攻撃者が被害者モデルに匹敵する機能を持つ代替モデルを複製することを可能にする。
本稿では,オブジェクト検出モデルに対するMEAODと呼ばれる効果的な攻撃手法を提案する。
10kのクエリ予算の所定の条件下で,抽出性能を70%以上達成する。
論文 参考訳(メタデータ) (2023-12-22T13:28:50Z) - SPD-DDPM: Denoising Diffusion Probabilistic Models in the Symmetric
Positive Definite Space [47.65912121120524]
本研究では,大規模データを扱う新しい生成モデルであるSPD-DDPMを提案する。
我々のモデルは、$y$を与えることなく、無条件で柔軟に$p(X)$を見積もることができる。
おもちゃのデータと実際のタクシーデータによる実験結果から、我々のモデルは無条件と無条件の両方のデータ分布に効果的に適合することが示された。
論文 参考訳(メタデータ) (2023-12-13T15:08:54Z) - MeaeQ: Mount Model Extraction Attacks with Efficient Queries [6.1106195466129485]
自然言語処理(NLP)におけるモデル抽出攻撃の研究
これらの問題に対処する単純で効果的な方法であるMeaeQを提案する。
MeaeQは、クエリを少なくしながら、ベースラインよりも犠牲者モデルに高い機能的類似性を実現する。
論文 参考訳(メタデータ) (2023-10-21T16:07:16Z) - Learning from aggregated data with a maximum entropy model [73.63512438583375]
我々は,観測されていない特徴分布を最大エントロピー仮説で近似することにより,ロジスティック回帰と類似した新しいモデルが,集約データからのみ学習されることを示す。
我々は、この方法で学習したモデルが、完全な非凝集データでトレーニングされたロジスティックモデルに匹敵するパフォーマンスを達成することができるという、いくつかの公開データセットに関する実証的な証拠を提示する。
論文 参考訳(メタデータ) (2022-10-05T09:17:27Z) - PL-$k$NN: A Parameterless Nearest Neighbors Classifier [0.24499092754102875]
k$-Nearest Neighborsは、多くの問題で使われている最も効果的で簡単なモデルの1つである。
本稿では、$k$の値を定義する必要性を回避した$k$-Nearest Neighbors分類器を提案する。
論文 参考訳(メタデータ) (2022-09-26T12:52:45Z) - BRIO: Bringing Order to Abstractive Summarization [107.97378285293507]
非決定論的分布を前提とした新しい学習パラダイムを提案する。
提案手法は, CNN/DailyMail (47.78 ROUGE-1) と XSum (49.07 ROUGE-1) のデータセット上で, 最新の結果が得られる。
論文 参考訳(メタデータ) (2022-03-31T05:19:38Z) - Leveraging Unlabeled Data to Predict Out-of-Distribution Performance [63.740181251997306]
実世界の機械学習デプロイメントは、ソース(トレーニング)とターゲット(テスト)ディストリビューションのミスマッチによって特徴づけられる。
本研究では,ラベル付きソースデータとラベルなしターゲットデータのみを用いて,対象領域の精度を予測する手法を検討する。
本稿では,モデルの信頼度をしきい値として学習し,精度をラベルなし例のごく一部として予測する実践的手法である平均閾値保持信頼度(ATC)を提案する。
論文 参考訳(メタデータ) (2022-01-11T23:01:12Z) - X-model: Improving Data Efficiency in Deep Learning with A Minimax Model [78.55482897452417]
ディープラーニングにおける分類と回帰設定の両面でのデータ効率の向上を目標とする。
両世界の力を生かすために,我々は新しいX-モデルを提案する。
X-モデルは、特徴抽出器とタスク固有のヘッドの間でミニマックスゲームを行う。
論文 参考訳(メタデータ) (2021-10-09T13:56:48Z) - MAZE: Data-Free Model Stealing Attack Using Zeroth-Order Gradient
Estimation [14.544507965617582]
モデルステアリング(MS)攻撃により、機械学習モデルへのブラックボックスアクセスを持つ敵が機能を複製し、モデルの機密性を損なうことができる。
本稿では,ゼロ階勾配推定を用いたデータフリーモデル盗難攻撃法MAZEを提案する。
以前の研究とは対照的に、MAZEはいかなるデータも必要とせず、生成モデルを用いて合成データを生成する。
論文 参考訳(メタデータ) (2020-05-06T22:26:18Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。