論文の概要: Gaussian Membership Inference Privacy
- arxiv url: http://arxiv.org/abs/2306.07273v2
- Date: Thu, 26 Oct 2023 17:24:29 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-28 01:27:03.200598
- Title: Gaussian Membership Inference Privacy
- Title(参考訳): ガウス会員推定プライバシー
- Authors: Tobias Leemann, Martin Pawelczyk, Gjergji Kasneci
- Abstract要約: 我々は、$f$-Membership Inference Privacy(f$-MIP)という新しい実用的なプライバシー概念を提案する。
我々は、比例比に基づく勾配降下(SGD)に対する会員推測攻撃を理論的に分析することにより、$mu$-Gaussian Membership Inference Privacy(mu$-GMIP)と呼ばれる、$f$-MIPの家族を導出する。
- 参考スコア(独自算出の注目度): 22.745970468274173
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: We propose a novel and practical privacy notion called $f$-Membership
Inference Privacy ($f$-MIP), which explicitly considers the capabilities of
realistic adversaries under the membership inference attack threat model.
Consequently, $f$-MIP offers interpretable privacy guarantees and improved
utility (e.g., better classification accuracy). In particular, we derive a
parametric family of $f$-MIP guarantees that we refer to as $\mu$-Gaussian
Membership Inference Privacy ($\mu$-GMIP) by theoretically analyzing likelihood
ratio-based membership inference attacks on stochastic gradient descent (SGD).
Our analysis highlights that models trained with standard SGD already offer an
elementary level of MIP. Additionally, we show how $f$-MIP can be amplified by
adding noise to gradient updates. Our analysis further yields an analytical
membership inference attack that offers two distinct advantages over previous
approaches. First, unlike existing state-of-the-art attacks that require
training hundreds of shadow models, our attack does not require any shadow
model. Second, our analytical attack enables straightforward auditing of our
privacy notion $f$-MIP. Finally, we quantify how various hyperparameters (e.g.,
batch size, number of model parameters) and specific data characteristics
determine an attacker's ability to accurately infer a point's membership in the
training set. We demonstrate the effectiveness of our method on models trained
on vision and tabular datasets.
- Abstract(参考訳): 我々は,会員推論攻撃モデルに基づく現実的な敵の能力を明確に考察した,新規で実用的なプライバシー概念である$f$-Membership Inference Privacy(f$-MIP)を提案する。
その結果、$f$-MIPは解釈可能なプライバシー保証とユーティリティの改善(例えば、より良い分類精度)を提供する。
特に、確率勾配降下(SGD)に対する確率比に基づくメンバーシップ推論攻撃を理論的に分析することにより、$\mu$-Gaussian Membership Inference Privacy(\mu$-GMIP)と呼ばれる、$f$-MIPのパラメトリックファミリーを導出する。
我々の分析によると、標準SGDで訓練されたモデルは、既に初等レベルのMIPを提供している。
さらに、勾配更新にノイズを加えることで、$f$-MIPを増幅する方法を示す。
我々の分析は、以前のアプローチよりも2つの明確なアドバンテージを提供する分析的メンバーシップ推論攻撃をもたらす。
まず、何百もの影モデルを訓練する必要がある既存の最先端攻撃とは異なり、我々の攻撃は影モデルを必要としない。
第2に、我々の分析攻撃はプライバシー概念の簡単な監査を可能にする。
最後に、様々なハイパーパラメータ(バッチサイズ、モデルパラメータの数など)と特定のデータ特性が、トレーニングセット内のポイントのメンバーシップを正確に推測する攻撃者の能力を決定する方法を定量化する。
視覚と表のデータセットに基づいて学習したモデルに対して,本手法の有効性を示す。
関連論文リスト
- Nearly Tight Black-Box Auditing of Differentially Private Machine Learning [10.305660258428993]
本稿では,ブラックボックスモデルにおけるDP-SGDアルゴリズムについて,ほぼ厳密な検証を行った。
本手法は,DP-SGDからのプライバシー漏洩を,メンバーシップ推論攻撃を用いて実証的に推定する。
論文 参考訳(メタデータ) (2024-05-23T02:24:52Z) - Epsilon*: Privacy Metric for Machine Learning Models [7.461284823977013]
Epsilon*は、単一のモデルインスタンスのプライバシリスクを、プライバシ緩和戦略の展開前、またはデプロイ後、測定するための新しい指標である。
モデル予測へのブラックボックスアクセスのみを必要とし、トレーニングデータの再サンプリングやモデル再トレーニングを必要とせず、差分プライバシでトレーニングされていないモデルのプライバシリスクを測定するために使用できる。
論文 参考訳(メタデータ) (2023-07-21T00:49:07Z) - Probing the Transition to Dataset-Level Privacy in ML Models Using an
Output-Specific and Data-Resolved Privacy Profile [23.05994842923702]
差分プライバシーメカニズムを用いてデータセットでトレーニングされたモデルが、近隣のデータセットでトレーニングされた結果の分布によってカバーされる範囲を定量化するプライバシー指標について検討する。
プライバシプロファイルは、近隣のディストリビューションで発生する不明瞭性への観察された遷移を、$epsilon$の減少として調査するために使用できることを示す。
論文 参考訳(メタデータ) (2023-06-27T20:39:07Z) - Client-specific Property Inference against Secure Aggregation in
Federated Learning [52.8564467292226]
フェデレートラーニングは、さまざまな参加者の間で共通のモデルを協調的に訓練するための、広く使われているパラダイムとなっている。
多くの攻撃は、メンバーシップ、資産、または参加者データの完全な再構築のような機密情報を推測することは依然として可能であることを示した。
単純な線形モデルでは、集約されたモデル更新からクライアント固有のプロパティを効果的にキャプチャできることが示される。
論文 参考訳(メタデータ) (2023-03-07T14:11:01Z) - Analyzing Privacy Leakage in Machine Learning via Multiple Hypothesis
Testing: A Lesson From Fano [83.5933307263932]
本研究では,離散データに対するデータ再構成攻撃について検討し,仮説テストの枠組みの下で解析する。
基礎となるプライベートデータが$M$のセットから値を取ると、ターゲットのプライバシパラメータ$epsilon$が$O(log M)$になる。
論文 参考訳(メタデータ) (2022-10-24T23:50:12Z) - Individual Privacy Accounting for Differentially Private Stochastic Gradient Descent [69.14164921515949]
DP-SGDで訓練されたモデルをリリースする際の個々の事例に対するプライバシー保証を特徴付ける。
ほとんどの例では、最悪のケースよりも強力なプライバシー保証を享受しています。
これは、モデルユーティリティの観点からは守られないグループが同時に、より弱いプライバシー保証を経験することを意味する。
論文 参考訳(メタデータ) (2022-06-06T13:49:37Z) - Large Scale Transfer Learning for Differentially Private Image
Classification [51.10365553035979]
Differential Privacy(DP)は、個別のサンプルレベルのプライバシで機械学習モデルをトレーニングするための正式なフレームワークを提供する。
DP-SGDを用いたプライベートトレーニングは、個々のサンプル勾配にノイズを注入することで漏れを防ぐ。
この結果は非常に魅力的であるが,DP-SGDを用いた大規模モデルのトレーニングの計算コストは,非プライベートトレーニングよりもかなり高い。
論文 参考訳(メタデータ) (2022-05-06T01:22:20Z) - Optimal Membership Inference Bounds for Adaptive Composition of Sampled
Gaussian Mechanisms [93.44378960676897]
トレーニングされたモデルとデータサンプルが与えられた場合、メンバシップ推論(MI)アタックは、サンプルがモデルのトレーニングセットにあるかどうかを予測する。
MI攻撃に対する一般的な対策は、モデルトレーニング中に差分プライバシー(DP)を利用して個々の事例の存在を隠蔽することである。
本稿では,MI攻撃を装着した相手のテキスト・アドバンテージのバウンダリを導出し,広く利用されているガウス機構の厳密性を示す。
論文 参考訳(メタデータ) (2022-04-12T22:36:56Z) - The Fundamental Price of Secure Aggregation in Differentially Private
Federated Learning [34.630300910399036]
我々は、$varepsilon$ Central DPの下で最高の精度を得るために必要な基本的な通信コストを特徴付ける。
我々の結果は、$tildeOleft( min(n2varepsilon2, d) right)$ bits per client が十分かつ必要であることを示している。
これにより、最先端のSecAgg分散DPスキームに対して大幅に改善される。
論文 参考訳(メタデータ) (2022-03-07T22:56:09Z) - Do Not Let Privacy Overbill Utility: Gradient Embedding Perturbation for
Private Learning [74.73901662374921]
差分プライベートモデルは、モデルが多数のトレーニング可能なパラメータを含む場合、ユーティリティを劇的に劣化させる。
偏微分プライベート深層モデルの精度向上のためのアルゴリズムemphGradient Embedding Perturbation (GEP)を提案する。
論文 参考訳(メタデータ) (2021-02-25T04:29:58Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。