論文の概要: Scalable Membership Inference Attacks via Quantile Regression
- arxiv url: http://arxiv.org/abs/2307.03694v1
- Date: Fri, 7 Jul 2023 16:07:00 GMT
- ステータス: 処理完了
- システム内更新日: 2023-07-10 11:49:26.359124
- Title: Scalable Membership Inference Attacks via Quantile Regression
- Title(参考訳): quantile regressionによるスケーラブルなメンバシップ推論攻撃
- Authors: Martin Bertran, Shuai Tang, Michael Kearns, Jamie Morgenstern, Aaron
Roth, Zhiwei Steven Wu
- Abstract要約: メンバーシップ推論攻撃は、トレーニングで特定の例が使用されたかどうかに関わらず、トレーニングされたモデルへのブラックボックスアクセスを使用して決定するように設計されている。
本稿では,トレーニングに使用されていない点に対する攻撃下でモデルによって誘導される信頼度スコアの分布に基づいて,量子回帰に基づく新たな攻撃方法を提案する。
- 参考スコア(独自算出の注目度): 35.33158339354343
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Membership inference attacks are designed to determine, using black box
access to trained models, whether a particular example was used in training or
not. Membership inference can be formalized as a hypothesis testing problem.
The most effective existing attacks estimate the distribution of some test
statistic (usually the model's confidence on the true label) on points that
were (and were not) used in training by training many \emph{shadow models} --
i.e. models of the same architecture as the model being attacked, trained on a
random subsample of data. While effective, these attacks are extremely
computationally expensive, especially when the model under attack is large.
We introduce a new class of attacks based on performing quantile regression
on the distribution of confidence scores induced by the model under attack on
points that are not used in training. We show that our method is competitive
with state-of-the-art shadow model attacks, while requiring substantially less
compute because our attack requires training only a single model. Moreover,
unlike shadow model attacks, our proposed attack does not require any knowledge
of the architecture of the model under attack and is therefore truly
``black-box". We show the efficacy of this approach in an extensive series of
experiments on various datasets and model architectures.
- Abstract(参考訳): メンバーシップ推論攻撃は、訓練されたモデルに対するブラックボックスアクセスを使用して、特定の例がトレーニングで使用されたかどうかを決定するように設計されている。
会員推定は仮説テスト問題として定式化することができる。
最も効果的な既存の攻撃は、多くの \emph{shadow model}(つまり、攻撃されたモデルと同じアーキテクチャのモデルが攻撃され、ランダムなデータサブサンプルで訓練された)でトレーニングに使用された(そして、そうでない)点に関するテスト統計(通常、モデルの真のラベルに対する信頼度)の分布を推定する。
効果はあるものの、攻撃対象のモデルが大きい場合、これらの攻撃は非常に計算コストが高い。
本稿では,トレーニングに使用されていない点に対する攻撃下でモデルによって誘導される信頼度スコアの分布に基づいて,量子回帰に基づく新たな攻撃方法を提案する。
本手法は最先端のシャドウ・モデル・アタックと競合するが,1つのモデルのみをトレーニングする必要があるため,計算量はかなり少ない。
さらに、シャドウモデル攻撃とは異なり、提案する攻撃は攻撃中のモデルのアーキテクチャに関する知識を必要としないため、真に `black-box" である。
このアプローチの有効性を,様々なデータセットやモデルアーキテクチャに関する広範な実験で示す。
関連論文リスト
- Membership Inference Attacks on Diffusion Models via Quantile Regression [30.30033625685376]
我々は,家族関係推論(MI)攻撃による拡散モデルのプライバシー上の脆弱性を実証する。
提案したMI攻撃は、トレーニングに使用されていない例における再構成損失の分布を予測(定量化)する量子レグレッションモデルを学習する。
我々の攻撃は従来の最先端攻撃よりも優れており、計算コストは著しく低い。
論文 参考訳(メタデータ) (2023-12-08T16:21:24Z) - Understanding the Robustness of Randomized Feature Defense Against
Query-Based Adversarial Attacks [23.010308600769545]
ディープニューラルネットワークは、元の画像に近いサンプルを見つける敵の例に弱いが、モデルを誤分類させる可能性がある。
モデル中間層における隠れた特徴にランダムノイズを付加することにより,ブラックボックス攻撃に対する簡易かつ軽量な防御法を提案する。
本手法は,スコアベースと決定ベースの両方のブラックボックス攻撃に対するモデルのレジリエンスを効果的に向上させる。
論文 参考訳(メタデータ) (2023-10-01T03:53:23Z) - Query Efficient Cross-Dataset Transferable Black-Box Attack on Action
Recognition [99.29804193431823]
ブラックボックスの敵攻撃は、行動認識システムに現実的な脅威をもたらす。
本稿では,摂動を発生させることにより,これらの欠点に対処する新たな行動認識攻撃を提案する。
提案手法は,最先端のクエリベースおよび転送ベース攻撃と比較して,8%,12%の偽装率を達成する。
論文 参考訳(メタデータ) (2022-11-23T17:47:49Z) - An Efficient Subpopulation-based Membership Inference Attack [11.172550334631921]
我々は、数百のシャドウモデルを訓練する必要のない、根本的に異なるMIアタックアプローチを導入する。
我々は、トレーニングコストを大幅に削減しつつ、最先端の会員推定精度を達成する。
論文 参考訳(メタデータ) (2022-03-04T00:52:06Z) - Membership Inference Attacks on Lottery Ticket Networks [6.1195233829355535]
宝くじのネットワークは、メンバーシップ推論攻撃に対して等しく脆弱であることを示す。
メンバーシップ推論攻撃は、ターゲット攻撃に使用できるトレーニングデータに関する重要な情報を漏洩する可能性がある。
論文 参考訳(メタデータ) (2021-08-07T19:22:47Z) - "What's in the box?!": Deflecting Adversarial Attacks by Randomly
Deploying Adversarially-Disjoint Models [71.91835408379602]
敵の例は長い間、機械学習モデルに対する真の脅威と考えられてきた。
我々は、従来のホワイトボックスやブラックボックスの脅威モデルを超えた、配置ベースの防衛パラダイムを提案する。
論文 参考訳(メタデータ) (2021-02-09T20:07:13Z) - Learning to Attack: Towards Textual Adversarial Attacking in Real-world
Situations [81.82518920087175]
敵攻撃は、敵の例でディープニューラルネットワークを騙すことを目的としている。
本稿では、攻撃履歴から学習し、より効率的に攻撃を開始することができる強化学習に基づく攻撃モデルを提案する。
論文 参考訳(メタデータ) (2020-09-19T09:12:24Z) - Two Sides of the Same Coin: White-box and Black-box Attacks for Transfer
Learning [60.784641458579124]
ホワイトボックスFGSM攻撃によるモデルロバスト性を効果的に向上することを示す。
また,移動学習モデルに対するブラックボックス攻撃手法を提案する。
ホワイトボックス攻撃とブラックボックス攻撃の双方の効果を系統的に評価するために,ソースモデルからターゲットモデルへの変換可能性の評価手法を提案する。
論文 参考訳(メタデータ) (2020-08-25T15:04:32Z) - Adversarial Imitation Attack [63.76805962712481]
現実的な敵攻撃は、攻撃されたモデルの知識をできるだけ少なくする必要がある。
現在の代替攻撃では、敵の例を生成するために事前訓練されたモデルが必要である。
本研究では,新たな敵模倣攻撃を提案する。
論文 参考訳(メタデータ) (2020-03-28T10:02:49Z) - DaST: Data-free Substitute Training for Adversarial Attacks [55.76371274622313]
本研究では,敵対的ブラックボックス攻撃の代替モデルを得るためのデータフリー代替訓練法(DaST)を提案する。
これを実現するため、DaSTは特別に設計されたGANを用いて代替モデルを訓練する。
実験では、代替モデルがベースラインモデルと比較して競争性能を発揮することを示した。
論文 参考訳(メタデータ) (2020-03-28T04:28:13Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。