論文の概要: A Plot is Worth a Thousand Words: Model Information Stealing Attacks via
Scientific Plots
- arxiv url: http://arxiv.org/abs/2302.11982v1
- Date: Thu, 23 Feb 2023 12:57:34 GMT
- ステータス: 処理完了
- システム内更新日: 2023-02-24 15:16:14.872722
- Title: A Plot is Worth a Thousand Words: Model Information Stealing Attacks via
Scientific Plots
- Title(参考訳): Plotは1000ワードの価値:科学的なPlotによるモデル情報ステルス攻撃
- Authors: Boyang Zhang, Xinlei He, Yun Shen, Tianhao Wang, Yang Zhang
- Abstract要約: 敵がターゲットのMLモデルの出力を利用してモデルの情報を盗むことはよく知られている。
我々は、モデル情報盗難攻撃、すなわちモデルの科学的プロットのための新しいサイドチャネルを提案する。
- 参考スコア(独自算出の注目度): 14.998272283348152
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Building advanced machine learning (ML) models requires expert knowledge and
many trials to discover the best architecture and hyperparameter settings.
Previous work demonstrates that model information can be leveraged to assist
other attacks, such as membership inference, generating adversarial examples.
Therefore, such information, e.g., hyperparameters, should be kept
confidential. It is well known that an adversary can leverage a target ML
model's output to steal the model's information. In this paper, we discover a
new side channel for model information stealing attacks, i.e., models'
scientific plots which are extensively used to demonstrate model performance
and are easily accessible. Our attack is simple and straightforward. We
leverage the shadow model training techniques to generate training data for the
attack model which is essentially an image classifier. Extensive evaluation on
three benchmark datasets shows that our proposed attack can effectively infer
the architecture/hyperparameters of image classifiers based on convolutional
neural network (CNN) given the scientific plot generated from it. We also
reveal that the attack's success is mainly caused by the shape of the
scientific plots, and further demonstrate that the attacks are robust in
various scenarios. Given the simplicity and effectiveness of the attack method,
our study indicates scientific plots indeed constitute a valid side channel for
model information stealing attacks. To mitigate the attacks, we propose several
defense mechanisms that can reduce the original attacks' accuracy while
maintaining the plot utility. However, such defenses can still be bypassed by
adaptive attacks.
- Abstract(参考訳): 高度な機械学習(ML)モデルを構築するには、最高のアーキテクチャとハイパーパラメータ設定を見つけるためには、専門家の知識と多くの試行が必要だ。
以前の研究は、モデル情報を活用して、メンバーシップ推論、敵の例の生成など他の攻撃を支援することを実証している。
したがって、例えばハイパーパラメータなどの情報は秘密にしておく必要がある。
敵がターゲットのMLモデルの出力を利用してモデルの情報を盗むことはよく知られている。
本稿では,モデル情報盗用のための新たなサイドチャネル,すなわち,モデル性能の実証に広く用いられ,容易にアクセス可能なモデル科学的プロットを見出す。
私たちの攻撃は単純で簡単です。
我々は、画像分類器である攻撃モデルの訓練データを生成するために、影モデルトレーニング技術を利用する。
3つのベンチマークデータセットの大規模な評価から,提案した攻撃は,畳み込みニューラルネットワーク(CNN)に基づいて,画像分類器のアーキテクチャ/ハイパーパラメータを効果的に推測できることが示された。
また,攻撃の成功は主に科学的プロットの形状によるものであることを明らかにし,さらに様々なシナリオにおいて攻撃が堅牢であることを示す。
本研究は,攻撃手法の単純さと有効性から,科学的プロットがモデル情報盗難攻撃の有効なサイドチャネルとなっていることを示す。
攻撃を軽減するため,プロットユーティリティを維持しつつ,元の攻撃の精度を低減できる防御機構を提案する。
しかし、そのような防御は適応攻撃によって回避できる。
関連論文リスト
- Isolation and Induction: Training Robust Deep Neural Networks against
Model Stealing Attacks [51.51023951695014]
既存のモデル盗難防衛は、被害者の後部確率に偽りの摂動を加え、攻撃者を誤解させる。
本稿では,モデルステルス防衛のための新規かつ効果的なトレーニングフレームワークである分離誘導(InI)を提案する。
モデルの精度を損なうモデル予測に摂動を加えるのとは対照的に、我々はモデルを訓練して、盗むクエリに対して非形式的なアウトプットを生成する。
論文 参考訳(メタデータ) (2023-08-02T05:54:01Z) - Scalable Membership Inference Attacks via Quantile Regression [35.33158339354343]
メンバーシップ推論攻撃は、トレーニングで特定の例が使用されたかどうかに関わらず、トレーニングされたモデルへのブラックボックスアクセスを使用して決定するように設計されている。
本稿では,トレーニングに使用されていない点に対する攻撃下でモデルによって誘導される信頼度スコアの分布に基づいて,量子回帰に基づく新たな攻撃方法を提案する。
論文 参考訳(メタデータ) (2023-07-07T16:07:00Z) - Can Adversarial Examples Be Parsed to Reveal Victim Model Information? [62.814751479749695]
本研究では,データ固有の敵インスタンスから,データに依存しない被害者モデル(VM)情報を推測できるかどうかを問う。
我々は,135件の被害者モデルから生成された7種類の攻撃に対して,敵攻撃のデータセットを収集する。
単純な教師付きモデル解析ネットワーク(MPN)は、見えない敵攻撃からVM属性を推測できることを示す。
論文 参考訳(メタデータ) (2023-03-13T21:21:49Z) - Reconstructing Training Data with Informed Adversaries [30.138217209991826]
機械学習モデルへのアクセスを考えると、敵はモデルのトレーニングデータを再構築できるだろうか?
本研究は、この疑問を、学習データポイントの全てを知っている強力な情報提供者のレンズから研究する。
この厳密な脅威モデルにおいて、残りのデータポイントを再構築することは可能であることを示す。
論文 参考訳(メタデータ) (2022-01-13T09:19:25Z) - Delving into Data: Effectively Substitute Training for Black-box Attack [84.85798059317963]
本稿では,知識盗むプロセスで使用されるデータの分散設計に焦点をあてた,新しい視点代替トレーニングを提案する。
これら2つのモジュールの組み合わせにより、代替モデルとターゲットモデルの一貫性がさらに向上し、敵攻撃の有効性が大幅に向上する。
論文 参考訳(メタデータ) (2021-04-26T07:26:29Z) - Manipulating SGD with Data Ordering Attacks [23.639512087220137]
基礎となるモデルデータセットやアーキテクチャを変更する必要のない,一連のトレーニングタイムアタックを提示する。
特に、アタッカーはトレーニングバッチをリオーダーするだけでモデルの完全性と可用性を損なう可能性がある。
攻撃は、攻撃後数百エポックというモデル性能を低下させるという長期的な影響をもたらす。
論文 参考訳(メタデータ) (2021-04-19T22:17:27Z) - Practical No-box Adversarial Attacks against DNNs [31.808770437120536]
我々は、攻撃者がモデル情報やトレーニングセットにアクセスしたり、モデルに問い合わせたりできない、ノンボックスの逆例を調査する。
非常に小さなデータセットでトレーニングを行うための3つのメカニズムを提案し、プロトタイプの再構築が最も効果的であることを示す。
提案手法は, システムの平均予測精度を15.40%に低下させ, 事前学習したArcfaceモデルから, 敵のサンプルを転送する攻撃と同等にする。
論文 参考訳(メタデータ) (2020-12-04T11:10:03Z) - Knowledge-Enriched Distributional Model Inversion Attacks [49.43828150561947]
モデルインバージョン(MI)攻撃は、モデルパラメータからトレーニングデータを再構成することを目的としている。
本稿では,パブリックデータからプライベートモデルに対する攻撃を行うのに役立つ知識を抽出する,新しい反転型GANを提案する。
実験の結果,これらの手法を組み合わせることで,最先端MI攻撃の成功率を150%向上させることができることがわかった。
論文 参考訳(メタデータ) (2020-10-08T16:20:48Z) - Learning to Attack: Towards Textual Adversarial Attacking in Real-world
Situations [81.82518920087175]
敵攻撃は、敵の例でディープニューラルネットワークを騙すことを目的としている。
本稿では、攻撃履歴から学習し、より効率的に攻撃を開始することができる強化学習に基づく攻撃モデルを提案する。
論文 参考訳(メタデータ) (2020-09-19T09:12:24Z) - Adversarial Imitation Attack [63.76805962712481]
現実的な敵攻撃は、攻撃されたモデルの知識をできるだけ少なくする必要がある。
現在の代替攻撃では、敵の例を生成するために事前訓練されたモデルが必要である。
本研究では,新たな敵模倣攻撃を提案する。
論文 参考訳(メタデータ) (2020-03-28T10:02:49Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。