論文の概要: Membership inference attack with relative decision boundary distance
- arxiv url: http://arxiv.org/abs/2306.04109v1
- Date: Wed, 7 Jun 2023 02:29:58 GMT
- ステータス: 処理完了
- システム内更新日: 2023-06-08 16:27:29.844880
- Title: Membership inference attack with relative decision boundary distance
- Title(参考訳): 相対的決定境界距離を持つメンバーシップ推論攻撃
- Authors: JiaCheng Xu and ChengXiang Tan
- Abstract要約: メンバシップ推論攻撃は、マシンラーニングにおける最も一般的なプライバシ攻撃の1つだ。
ラベルのみの設定において,ミューティクラス適応型メンバシップ推論攻撃と呼ばれる新たな攻撃手法を提案する。
- 参考スコア(独自算出の注目度): 9.764492069791991
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Membership inference attack is one of the most popular privacy attacks in
machine learning, which aims to predict whether a given sample was contained in
the target model's training set. Label-only membership inference attack is a
variant that exploits sample robustness and attracts more attention since it
assumes a practical scenario in which the adversary only has access to the
predicted labels of the input samples. However, since the decision boundary
distance, which measures robustness, is strongly affected by the random initial
image, the adversary may get opposite results even for the same input samples.
In this paper, we propose a new attack method, called muti-class adaptive
membership inference attack in the label-only setting. All decision boundary
distances for all target classes have been traversed in the early attack
iterations, and the subsequent attack iterations continue with the shortest
decision boundary distance to obtain a stable and optimal decision boundary
distance. Instead of using a single boundary distance, the relative boundary
distance between samples and neighboring points has also been employed as a new
membership score to distinguish between member samples inside the training set
and nonmember samples outside the training set. Experiments show that previous
label-only membership inference attacks using the untargeted HopSkipJump
algorithm fail to achieve optimal decision bounds in more than half of the
samples, whereas our multi-targeted HopSkipJump algorithm succeeds in almost
all samples. In addition, extensive experiments show that our multi-class
adaptive MIA outperforms current label-only membership inference attacks in the
CIFAR10, and CIFAR100 datasets, especially for the true positive rate at low
false positive rates metric.
- Abstract(参考訳): メンバシップ推論攻撃は、マシンラーニングで最も一般的なプライバシ攻撃の1つであり、対象モデルのトレーニングセットに含まれるサンプルを予測することを目的としている。
ラベルのみのメンバシップ推論攻撃は、サンプルの堅牢性を利用して、敵が予測されたサンプルのラベルのみにアクセスするという現実的なシナリオを前提として、より多くの注意を惹きつける変種である。
しかし、ロバスト性を測定する決定境界距離は、ランダムな初期画像に強く影響されるため、同じ入力サンプルであっても逆の結果が得られる可能性がある。
本稿では,ラベルのみの設定でmutiクラス適応メンバシップ推論アタックと呼ばれる新しい攻撃手法を提案する。
すべてのターゲットクラスの決定境界距離は、初期の攻撃イテレーションで横断され、その後の攻撃イテレーションは、安定かつ最適な決定境界距離を得るために最短決定境界距離で継続される。
単一の境界距離を使用する代わりに、トレーニングセット内のメンバーサンプルとトレーニングセット外の非メンバーサンプルを区別する新しいメンバースコアとして、サンプルと隣接するポイントとの間の相対的な境界距離が採用されている。
実験の結果,非ターゲットのhopskipjumpアルゴリズムを用いた以前のラベルのみのメンバシップ推論攻撃では,半数以上のサンプルにおいて最適な決定境界を達成できなかった。
さらに,CIFAR10およびCIFAR100データセットにおいて,多クラス適応MIAは,特に偽陽性率測定値の正の正の値に対して,現在のラベルのみのメンバシップ推論攻撃よりも優れていた。
関連論文リスト
- Decoupled Prototype Learning for Reliable Test-Time Adaptation [50.779896759106784]
テスト時間適応(TTA)は、推論中にトレーニング済みのソースモデルをターゲットドメインに継続的に適応させるタスクである。
1つの一般的なアプローチは、推定擬似ラベルによるクロスエントロピー損失を伴う微調整モデルである。
本研究は, 各試料の分類誤差を最小化することで, クロスエントロピー損失の脆弱性がラベルノイズを引き起こすことを明らかにした。
本稿では,プロトタイプ中心の損失計算を特徴とする新しいDPL法を提案する。
論文 参考訳(メタデータ) (2024-01-15T03:33:39Z) - Guiding Pseudo-labels with Uncertainty Estimation for Test-Time
Adaptation [27.233704767025174]
Test-Time Adaptation (TTA) は、Unsupervised Domain Adaptation (UDA) の特定のケースであり、モデルがソースデータにアクセスせずにターゲットドメインに適合する。
本稿では,損失再重み付け戦略に基づくTTA設定のための新しい手法を提案する。
論文 参考訳(メタデータ) (2023-03-07T10:04:55Z) - Holistic Approach to Measure Sample-level Adversarial Vulnerability and
its Utility in Building Trustworthy Systems [17.707594255626216]
敵対的攻撃は、知覚不能な雑音を伴うイメージを摂動させ、誤ったモデル予測をもたらす。
本稿では,異なる視点を組み合わせることで,サンプルの敵対的脆弱性を定量化するための総合的アプローチを提案する。
サンプルレベルで確実に敵の脆弱性を推定することにより、信頼できるシステムを開発できることを実証する。
論文 参考訳(メタデータ) (2022-05-05T12:36:17Z) - Identifying a Training-Set Attack's Target Using Renormalized Influence
Estimation [11.663072799764542]
本研究は、特定のテストインスタンスがトレーニングセットアタックのターゲットであるかどうかを判定するターゲット識別タスクを提案する。
単一の攻撃方法やデータモダリティではなく、各トレーニングインスタンスのモデル予測への貢献度を定量化するインフルエンス推定に基づいて構築する。
論文 参考訳(メタデータ) (2022-01-25T02:36:34Z) - Towards A Conceptually Simple Defensive Approach for Few-shot
classifiers Against Adversarial Support Samples [107.38834819682315]
本研究は,数発の分類器を敵攻撃から守るための概念的簡便なアプローチについて検討する。
本稿では,自己相似性とフィルタリングの概念を用いた簡易な攻撃非依存検出法を提案する。
ミニイメージネット(MI)とCUBデータセットの攻撃検出性能は良好である。
論文 参考訳(メタデータ) (2021-10-24T05:46:03Z) - Dash: Semi-Supervised Learning with Dynamic Thresholding [72.74339790209531]
我々は、ラベルのない例を使ってモデルをトレーニングする半教師付き学習(SSL)アプローチを提案する。
提案手法であるDashは、ラベルなしデータ選択の観点から適応性を享受する。
論文 参考訳(メタデータ) (2021-09-01T23:52:29Z) - Sampling Attacks: Amplification of Membership Inference Attacks by
Repeated Queries [74.59376038272661]
本手法は,他の標準メンバーシップ相手と異なり,被害者モデルのスコアにアクセスできないような厳格な制限の下で動作可能な,新しいメンバーシップ推論手法であるサンプリングアタックを導入する。
ラベルのみを公開している被害者モデルでは,攻撃のサンプリングが引き続き可能であり,攻撃者はその性能の最大100%を回復できることを示す。
防衛においては,被害者モデルのトレーニング中の勾配摂動と予測時の出力摂動の形式で差分プライバシーを選択する。
論文 参考訳(メタデータ) (2020-09-01T12:54:54Z) - Membership Leakage in Label-Only Exposures [10.875144776014533]
本稿では,機械学習モデルに対する決定に基づくメンバシップ推論攻撃を提案する。
特に、転送攻撃と境界攻撃という2種類の意思決定ベースの攻撃を考案する。
また,量的および質的分析に基づく会員推定の成功に関する新たな知見も提示する。
論文 参考訳(メタデータ) (2020-07-30T15:27:55Z) - Revisiting Membership Inference Under Realistic Assumptions [87.13552321332988]
従来研究でよく用いられていた仮定のいくつかが緩和された環境での会員推定について検討する。
この設定は、研究者が通常考慮するバランスのとれた事前設定よりも現実的である。
我々は、トレーニングセットメンバーに対応する入力が損失関数の局所最小値に近いという直感に基づく新しい推論攻撃を開発する。
論文 参考訳(メタデータ) (2020-05-21T20:17:42Z) - Certified Robustness to Label-Flipping Attacks via Randomized Smoothing [105.91827623768724]
機械学習アルゴリズムは、データ中毒攻撃の影響を受けやすい。
任意の関数に対するランダム化スムージングの統一的なビューを示す。
本稿では,一般的なデータ中毒攻撃に対して,ポイントワイズで確実に堅牢な分類器を構築するための新しい戦略を提案する。
論文 参考訳(メタデータ) (2020-02-07T21:28:30Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。