論文の概要: Marich: A Query-efficient Distributionally Equivalent Model Extraction
Attack using Public Data
- arxiv url: http://arxiv.org/abs/2302.08466v2
- Date: Wed, 18 Oct 2023 17:08:26 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-19 21:05:35.658850
- Title: Marich: A Query-efficient Distributionally Equivalent Model Extraction
Attack using Public Data
- Title(参考訳): Marich: 公開データを用いたクエリ効率の高い分散等価モデル抽出攻撃
- Authors: Pratik Karmakar and Debabrota Basu
- Abstract要約: Black-boxモデル抽出攻撃は、公開データセットから予測APIを通じてターゲットMLモデルに最小限のクエリを送信することができる。
我々は,アクティブサンプリングに基づくクエリ選択アルゴリズムであるMarichを用いて,情報的かつ分布的に等価なターゲットのレプリカを作成する。
Marich氏は、真のモデルの精度を60-95%で達成したモデルを抽出し、公開データセットから$sim 1,000 - 8,500$クエリを使用する。
- 参考スコア(独自算出の注目度): 10.377650972462654
- License: http://creativecommons.org/licenses/by-sa/4.0/
- Abstract: We study design of black-box model extraction attacks that can send minimal
number of queries from a publicly available dataset to a target ML model
through a predictive API with an aim to create an informative and
distributionally equivalent replica of the target. First, we define
distributionally equivalent and Max-Information model extraction attacks, and
reduce them into a variational optimisation problem. The attacker sequentially
solves this optimisation problem to select the most informative queries that
simultaneously maximise the entropy and reduce the mismatch between the target
and the stolen models. This leads to an active sampling-based query selection
algorithm, Marich, which is model-oblivious. Then, we evaluate Marich on
different text and image data sets, and different models, including CNNs and
BERT. Marich extracts models that achieve $\sim 60-95\%$ of true model's
accuracy and uses $\sim 1,000 - 8,500$ queries from the publicly available
datasets, which are different from the private training datasets. Models
extracted by Marich yield prediction distributions, which are $\sim 2-4\times$
closer to the target's distribution in comparison to the existing active
sampling-based attacks. The extracted models also lead to $84-96\%$ accuracy
under membership inference attacks. Experimental results validate that Marich
is query-efficient, and capable of performing task-accurate, high-fidelity, and
informative model extraction.
- Abstract(参考訳): 本研究では,公開データセットからターゲットmlモデルへの最小限のクエリを予測apiを通じてターゲットモデルに送信できるブラックボックスモデル抽出攻撃の設計について検討する。
まず,分布同値および最大情報モデル抽出攻撃を定義し,それを変動最適化問題に還元する。
攻撃者は、この最適化問題を逐次解決し、同時にエントロピーを最大化し、ターゲットと盗難モデルのミスマッチを低減する最も情報性の高いクエリを選択する。
これにより、アクティブなサンプリングベースのクエリ選択アルゴリズムであるMarichが実現される。
次に,テキストと画像データセット,CNNやBERTなどさまざまなモデルを用いて,Marichを評価した。
Marich氏は、真のモデルの精度を$\sim 60-95\%で達成したモデルを抽出し、公開データセットから$\sim 1,000 - 8,500$クエリを使用する。
Marichの収率予測分布から抽出されたモデルは、既存のアクティブサンプリングベースの攻撃と比較してターゲットの分布に近い$\sim 2-4\times$である。
抽出されたモデルはまた、メンバーシップ推論攻撃で8,4-96\%の精度をもたらす。
実験の結果,marichはクエリ効率が高く,タスク精度,忠実度,情報モデル抽出が可能であることが確認された。
関連論文リスト
- Rejection via Learning Density Ratios [50.91522897152437]
拒絶による分類は、モデルを予測しないことを許容する学習パラダイムとして現れます。
そこで我々は,事前学習したモデルの性能を最大化する理想的なデータ分布を求める。
私たちのフレームワークは、クリーンでノイズの多いデータセットで実証的にテストされます。
論文 参考訳(メタデータ) (2024-05-29T01:32:17Z) - MEAOD: Model Extraction Attack against Object Detectors [45.817537875368956]
モデル抽出攻撃は、攻撃者が被害者モデルに匹敵する機能を持つ代替モデルを複製することを可能にする。
本稿では,オブジェクト検出モデルに対するMEAODと呼ばれる効果的な攻撃手法を提案する。
10kのクエリ予算の所定の条件下で,抽出性能を70%以上達成する。
論文 参考訳(メタデータ) (2023-12-22T13:28:50Z) - SPD-DDPM: Denoising Diffusion Probabilistic Models in the Symmetric
Positive Definite Space [47.65912121120524]
本研究では,大規模データを扱う新しい生成モデルであるSPD-DDPMを提案する。
我々のモデルは、$y$を与えることなく、無条件で柔軟に$p(X)$を見積もることができる。
おもちゃのデータと実際のタクシーデータによる実験結果から、我々のモデルは無条件と無条件の両方のデータ分布に効果的に適合することが示された。
論文 参考訳(メタデータ) (2023-12-13T15:08:54Z) - MeaeQ: Mount Model Extraction Attacks with Efficient Queries [6.1106195466129485]
自然言語処理(NLP)におけるモデル抽出攻撃の研究
これらの問題に対処する単純で効果的な方法であるMeaeQを提案する。
MeaeQは、クエリを少なくしながら、ベースラインよりも犠牲者モデルに高い機能的類似性を実現する。
論文 参考訳(メタデータ) (2023-10-21T16:07:16Z) - Learning from aggregated data with a maximum entropy model [73.63512438583375]
我々は,観測されていない特徴分布を最大エントロピー仮説で近似することにより,ロジスティック回帰と類似した新しいモデルが,集約データからのみ学習されることを示す。
我々は、この方法で学習したモデルが、完全な非凝集データでトレーニングされたロジスティックモデルに匹敵するパフォーマンスを達成することができるという、いくつかの公開データセットに関する実証的な証拠を提示する。
論文 参考訳(メタデータ) (2022-10-05T09:17:27Z) - PL-$k$NN: A Parameterless Nearest Neighbors Classifier [0.24499092754102875]
k$-Nearest Neighborsは、多くの問題で使われている最も効果的で簡単なモデルの1つである。
本稿では、$k$の値を定義する必要性を回避した$k$-Nearest Neighbors分類器を提案する。
論文 参考訳(メタデータ) (2022-09-26T12:52:45Z) - BRIO: Bringing Order to Abstractive Summarization [107.97378285293507]
非決定論的分布を前提とした新しい学習パラダイムを提案する。
提案手法は, CNN/DailyMail (47.78 ROUGE-1) と XSum (49.07 ROUGE-1) のデータセット上で, 最新の結果が得られる。
論文 参考訳(メタデータ) (2022-03-31T05:19:38Z) - Leveraging Unlabeled Data to Predict Out-of-Distribution Performance [63.740181251997306]
実世界の機械学習デプロイメントは、ソース(トレーニング)とターゲット(テスト)ディストリビューションのミスマッチによって特徴づけられる。
本研究では,ラベル付きソースデータとラベルなしターゲットデータのみを用いて,対象領域の精度を予測する手法を検討する。
本稿では,モデルの信頼度をしきい値として学習し,精度をラベルなし例のごく一部として予測する実践的手法である平均閾値保持信頼度(ATC)を提案する。
論文 参考訳(メタデータ) (2022-01-11T23:01:12Z) - X-model: Improving Data Efficiency in Deep Learning with A Minimax Model [78.55482897452417]
ディープラーニングにおける分類と回帰設定の両面でのデータ効率の向上を目標とする。
両世界の力を生かすために,我々は新しいX-モデルを提案する。
X-モデルは、特徴抽出器とタスク固有のヘッドの間でミニマックスゲームを行う。
論文 参考訳(メタデータ) (2021-10-09T13:56:48Z) - MAZE: Data-Free Model Stealing Attack Using Zeroth-Order Gradient
Estimation [14.544507965617582]
モデルステアリング(MS)攻撃により、機械学習モデルへのブラックボックスアクセスを持つ敵が機能を複製し、モデルの機密性を損なうことができる。
本稿では,ゼロ階勾配推定を用いたデータフリーモデル盗難攻撃法MAZEを提案する。
以前の研究とは対照的に、MAZEはいかなるデータも必要とせず、生成モデルを用いて合成データを生成する。
論文 参考訳(メタデータ) (2020-05-06T22:26:18Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。