論文の概要: Investigating the Effect of Misalignment on Membership Privacy in the White-box Setting

• arxiv url: http://arxiv.org/abs/2306.05093v2
• Date: Tue, 12 Mar 2024 22:29:18 GMT
• ステータス: 処理完了
• システム内更新日: 2024-03-14 18:57:09.810014
• Title: Investigating the Effect of Misalignment on Membership Privacy in the White-box Setting
• Title（参考訳）: ミスアライメントが社会におけるメンバーシッププライバシに及ぼす影響の検討 ホワイトボックスの設定
• Authors: Ana-Maria Cretu, Daniel Jones, Yves-Alexandre de Montjoye, Shruti Tople
• Abstract要約: 機械学習モデルは、トレーニングデータセットに関する機密情報を漏洩することが示されている。 モデルパラメータへのホワイトボックスアクセスはブラックボックスアクセスと比較して攻撃面を増加させる。 本研究は,影モデルにおける誤認識の原因を初めて体系的に解析する。 ターゲットモデルとシャドウモデルの間の測定ミスアライメントを著しく低減する再アライメント手法を示す。
• 参考スコア（独自算出の注目度）: 14.647225443784064
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Machine learning models have been shown to leak sensitive information about their training datasets. Models are increasingly deployed on devices, raising concerns that white-box access to the model parameters increases the attack surface compared to black-box access which only provides query access. Directly extending the shadow modelling technique from the black-box to the white-box setting has been shown, in general, not to perform better than black-box only attacks. A potential reason is misalignment, a known characteristic of deep neural networks. In the shadow modelling context, misalignment means that, while the shadow models learn similar features in each layer, the features are located in different positions. We here present the first systematic analysis of the causes of misalignment in shadow models and show the use of a different weight initialisation to be the main cause. We then extend several re-alignment techniques, previously developed in the model fusion literature, to the shadow modelling context, where the goal is to re-align the layers of a shadow model to those of the target model. We show re-alignment techniques to significantly reduce the measured misalignment between the target and shadow models. Finally, we perform a comprehensive evaluation of white-box membership inference attacks (MIA). Our analysis reveals that internal layer activation-based MIAs suffer strongly from shadow model misalignment, while gradient-based MIAs are only sometimes significantly affected. We show that re-aligning the shadow models strongly improves the former's performance and can also improve the latter's performance, although less frequently. Taken together, our results highlight that on-device deployment increases the attack surface and that the newly available information can be used to build more powerful attacks.
• Abstract（参考訳）: 機械学習モデルは、トレーニングデータセットに関する機密情報を漏洩することが示されている。 モデルがますますデバイスにデプロイされるようになり、モデルパラメータへのホワイトボックスアクセスが、クエリアクセスのみを提供するブラックボックスアクセスよりも攻撃面を増加させるという懸念が高まっている。 シャドーモデリング技術を直接ブラックボックスからホワイトボックス設定に拡張することは、一般にブラックボックスのみの攻撃よりも優れた性能を発揮できないことが示されている。 潜在的な理由は、ディープニューラルネットワークの既知の特徴であるミスアライメントである。 シャドウモデリングの文脈では、ミスアライメントとは、影モデルが各層で類似した特徴を学習する一方で、特徴が異なる位置にあることを意味する。 本稿では,影モデルにおける不整合の原因を初めて体系的に解析し,異なる重み初期化が主な原因であることを示す。 次に、以前はモデル融合文献で開発されたいくつかの再配向手法をシャドウモデリングコンテキストに拡張し、そこでは、シャドウモデルの層をターゲットモデルのものと再配向することを目的としている。 ターゲットモデルとシャドウモデルの間の測定ミスアライメントを著しく低減する再アライメント手法を示す。 最後に、ホワイトボックスメンバーシップ推論攻撃(MIA)の包括的評価を行う。 分析の結果,内部層活性化型MIAは影モデルミスアライメントに強く悩まされているのに対し,勾配型MIAは大きな影響を受けていることが判明した。 また,影モデルの再調整により,前者の性能が向上し,後者の性能が向上することを示した。 まとめると、デバイス上でのデプロイメントによって攻撃面が増加し、新たに利用可能な情報がより強力な攻撃構築に利用できるようになる、という結果が浮かび上がっています。

関連論文リスト

• DREAM: Domain-free Reverse Engineering Attributes of Black-box Model [51.37041886352823]
  ブラックボックス対象モデルの属性をドメインに依存しないリバースエンジニアリングの新しい問題を提案する。 対象のブラックボックスモデルの属性を未知のトレーニングデータで推測するために,ドメインに依存しないモデルを学ぶ。
  論文  参考訳（メタデータ） (2023-07-20T16:25:58Z)
• Learning Physical-Spatio-Temporal Features for Video Shadow Removal [42.95422940263425]
  データ駆動型ビデオシャドウ除去モデルであるedNetを提案する。 具体的には、複雑な照明テクスチャを持つシーンに適用可能な局所照明推定を行うために、専用の物理的ブランチが設けられた。 シャドウビデオと組み合わせたデータセットの欠如に対処するため、シャドウのスイッチを制御することで、人気のあるゲームGTAVの助けを借りてデータセットを合成する。
  論文  参考訳（メタデータ） (2023-03-16T14:55:31Z)
• l-Leaks: Membership Inference Attacks with Logits [5.663757165885866]
  我々はターゲットモデルへのブラックボックスアクセスに基づく攻撃を提示する。 ターゲットモデルのロジットを学習し、ターゲットモデルとよりよく似たシャドーモデルを構築することにより、シャドーモデルを構築する。
  論文  参考訳（メタデータ） (2022-05-13T06:59:09Z)
• How to Robustify Black-Box ML Models? A Zeroth-Order Optimization Perspective [74.47093382436823]
  入力クエリと出力フィードバックだけでブラックボックスモデルを堅牢化する方法? 我々は,ブラックボックスモデルに適用可能な防御操作の一般的な概念を提案し,それを復号化スムーシング(DS)のレンズを通して設計する。 我々は,ZO-AE-DSが既存のベースラインよりも精度,堅牢性,クエリの複雑さを向上できることを実証的に示す。
  論文  参考訳（メタデータ） (2022-03-27T03:23:32Z)
• Meta Gradient Adversarial Attack [64.5070788261061]
  本稿では,MGAA(Metaversa Gradient Adrial Attack)と呼ばれる新しいアーキテクチャを提案する。 具体的には、モデル動物園から複数のモデルをランダムにサンプリングし、異なるタスクを構成するとともに、各タスクにおけるホワイトボックス攻撃とブラックボックス攻撃を反復的にシミュレートする。 ブラックボックス攻撃における勾配方向とブラックボックス攻撃の差を狭めることにより、ブラックボックス設定における逆例の転送性を向上させることができる。
  論文  参考訳（メタデータ） (2021-08-09T17:44:19Z)
• CAMERAS: Enhanced Resolution And Sanity preserving Class Activation Mapping for image saliency [61.40511574314069]
  バックプロパゲーション画像のサリエンシは、入力中の個々のピクセルのモデル中心の重要性を推定することにより、モデル予測を説明することを目的としている。 CAMERASは、外部の事前処理を必要とせずに、高忠実度バックプロパゲーション・サリエンシ・マップを計算できる手法である。
  論文  参考訳（メタデータ） (2021-06-20T08:20:56Z)
• Two Sides of the Same Coin: White-box and Black-box Attacks for Transfer Learning [60.784641458579124]
  ホワイトボックスFGSM攻撃によるモデルロバスト性を効果的に向上することを示す。 また,移動学習モデルに対するブラックボックス攻撃手法を提案する。 ホワイトボックス攻撃とブラックボックス攻撃の双方の効果を系統的に評価するために,ソースモデルからターゲットモデルへの変換可能性の評価手法を提案する。
  論文  参考訳（メタデータ） (2020-08-25T15:04:32Z)
• Orthogonal Deep Models As Defense Against Black-Box Attacks [71.23669614195195]
  攻撃者が標的モデルに類似したモデルを用いて攻撃を発生させるブラックボックス設定における深層モデル固有の弱点について検討する。 本稿では,深部モデルの内部表現を他のモデルに直交させる新しい勾配正規化手法を提案する。 様々な大規模モデルにおいて,本手法の有効性を検証する。
  論文  参考訳（メタデータ） (2020-06-26T08:29:05Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。