Fugu-MT 論文翻訳(概要): Membership Inference Attacks on DNNs using Adversarial Perturbations

論文の概要: Membership Inference Attacks on DNNs using Adversarial Perturbations

arxiv url: http://arxiv.org/abs/2307.05193v1
Date: Tue, 11 Jul 2023 11:59:04 GMT
ステータス: 処理完了
システム内更新日: 2023-07-12 15:14:45.931183
Title: Membership Inference Attacks on DNNs using Adversarial Perturbations
Title（参考訳）: 逆摂動を用いたDNNの会員推測攻撃
Authors: Hassan Ali, Adnan Qayyum, Ala Al-Fuqaha, Junaid Qadir
Abstract要約: 提案する枠組みは, 準備, 指示, 決定の3段階に分けられる。我々は2つの新しい攻撃を提案している: 敵メンバーシップ推論攻撃 (AMIA) と強化AMIA (E-AMIA) である。 AMIAとE-AMIAは未知のDNN(ターゲットのDNN以外の)に転送可能であり、LiRAとEMIAと比較してDP-SGD訓練に堅牢であることを示す。
参考スコア（独自算出の注目度）: 4.851840002368885
License: http://creativecommons.org/licenses/by/4.0/
Abstract: Several membership inference (MI) attacks have been proposed to audit a target DNN. Given a set of subjects, MI attacks tell which subjects the target DNN has seen during training. This work focuses on the post-training MI attacks emphasizing high confidence membership detection -- True Positive Rates (TPR) at low False Positive Rates (FPR). Current works in this category -- likelihood ratio attack (LiRA) and enhanced MI attack (EMIA) -- only perform well on complex datasets (e.g., CIFAR-10 and Imagenet) where the target DNN overfits its train set, but perform poorly on simpler datasets (0% TPR by both attacks on Fashion-MNIST, 2% and 0% TPR respectively by LiRA and EMIA on MNIST at 1% FPR). To address this, firstly, we unify current MI attacks by presenting a framework divided into three stages -- preparation, indication and decision. Secondly, we utilize the framework to propose two novel attacks: (1) Adversarial Membership Inference Attack (AMIA) efficiently utilizes the membership and the non-membership information of the subjects while adversarially minimizing a novel loss function, achieving 6% TPR on both Fashion-MNIST and MNIST datasets; and (2) Enhanced AMIA (E-AMIA) combines EMIA and AMIA to achieve 8% and 4% TPRs on Fashion-MNIST and MNIST datasets respectively, at 1% FPR. Thirdly, we introduce two novel augmented indicators that positively leverage the loss information in the Gaussian neighborhood of a subject. This improves TPR of all four attacks on average by 2.5% and 0.25% respectively on Fashion-MNIST and MNIST datasets at 1% FPR. Finally, we propose simple, yet novel, evaluation metric, the running TPR average (RTA) at a given FPR, that better distinguishes different MI attacks in the low FPR region. We also show that AMIA and E-AMIA are more transferable to the unknown DNNs (other than the target DNN) and are more robust to DP-SGD training as compared to LiRA and EMIA.
Abstract（参考訳）: いくつかのメンバーシップ推論(MI)攻撃は、ターゲットのDNNを監査するために提案されている。一連の対象が与えられた場合、MI攻撃は訓練中にターゲットのDNNが見た対象を識別する。 This work focuses on the post-training MI attacks emphasizing high confidence membership detection -- True Positive Rates (TPR) at low False Positive Rates (FPR). Current works in this category -- likelihood ratio attack (LiRA) and enhanced MI attack (EMIA) -- only perform well on complex datasets (e.g., CIFAR-10 and Imagenet) where the target DNN overfits its train set, but perform poorly on simpler datasets (0% TPR by both attacks on Fashion-MNIST, 2% and 0% TPR respectively by LiRA and EMIA on MNIST at 1% FPR). これに対処するため、まず、準備、指示、決定という3つの段階に分かれたフレームワークを提示することで、現在のmi攻撃を統合する。第2に,(1)新規損失関数の最小化を図りつつ,対象者のメンバシップと非メンバシップ情報を効率よく活用し,(1)Fashion-MNISTデータセットとMNISTデータセットの両方で6%TPRを達成し,(2)E-AMIAはEMIAとAMIAを組み合わせて、Fashion-MNISTデータセットとMNISTデータセットの8%と4%TPRをそれぞれ1%FPRで達成する。第3に,被験者のガウス近傍における損失情報を積極的に活用する2つの新しい拡張指標を提案する。これにより、Fashion-MNISTデータセットとMNISTデータセットでそれぞれ1% FPRで平均2.5%と0.25%のTPRが改善される。最後に,低FPR領域におけるMI攻撃をよりよく区別する,単純で斬新な評価指標であるRTA(TPR average)を提案する。また、AMIAとE-AMIAは未知のDNN(ターゲットDNN以外の)に転送可能であり、LiRAとEMIAと比較してDP-SGD訓練に堅牢であることを示す。

関連論文リスト

It Takes Two: On the Seamlessness between Reward and Policy Model in RLHF [33.197077764166536]
ヒューマンフィードバックからの強化学習(Reinforcement Learning from Human Feedback)は、言語モデルと人間の好みを合わせるためのトレーニングポリシーモデル(PM)と報酬モデル(RM)を含む。 PMとRMを独立に焦点をあてるのではなく、微調整中の相互作用を調べることを提案する。本研究は、RMとPMの連続的な改善がRLHFの進行に変換されない飽和現象を観察することから始まる。分析の結果, RMはPM応答に適切なスコアを割り当てず, 人間の嗜好に35%のミスマッチ率を示し, PMとRMの相違が顕著であった。
論文参考訳（メタデータ） (2024-06-12T07:52:17Z)
Double-Dip: Thwarting Label-Only Membership Inference Attacks with Transfer Learning and Randomization [2.6121142662033923]
会員推論攻撃(MIAs)と呼ばれるプライバシー攻撃のクラスは、与えられたサンプルがトレーニングデータセット(メンバー)に属しているかどうか(非メンバー)を決定することを目的としている。
論文参考訳（メタデータ） (2024-02-02T03:14:37Z)
Embedding Attack Project (Work Report) [1.1406834504148182]
本報告では,埋め込み攻撃プロジェクトのMIA実験(Membership Inference Attacks)について概説する。現在の結果は、コンピュータビジョンから言語モデリングまでの6つのAIモデルにおける2つの主要なMIA戦略の評価をカバーしている。 MIA防衛と近辺比較攻撃の2つの実験が進行中である。
論文参考訳（メタデータ） (2024-01-24T23:35:29Z)
Learning-Based Difficulty Calibration for Enhanced Membership Inference Attacks [3.470379197911889]
メンバーシップ推論攻撃(MIA)は、特定のデータポイントがモデルのトレーニングデータセットの一部であるかどうかを敵が判断することを可能にする。低偽陽性率(FPR)におけるTPRの大幅な改善を目的としたMIAの新しいアプローチを提案する。実験の結果,LCD-MIAは,他の困難キャリブレーションに基づくMIAと比較して,低FPRでのTPRを最大4倍改善できることがわかった。
論文参考訳（メタデータ） (2024-01-10T04:58:17Z)
Avoid Adversarial Adaption in Federated Learning by Multi-Metric Investigations [55.2480439325792]
Federated Learning(FL)は、分散機械学習モデルのトレーニング、データのプライバシの保護、通信コストの低減、多様化したデータソースによるモデルパフォーマンスの向上を支援する。 FLは、中毒攻撃、標的外のパフォーマンス劣化とターゲットのバックドア攻撃の両方でモデルの整合性を損なうような脆弱性に直面している。我々は、複数の目的に同時に適応できる、強い適応的敵の概念を新たに定義する。 MESASは、実際のデータシナリオで有効であり、平均オーバーヘッドは24.37秒である。
論文参考訳（メタデータ） (2023-06-06T11:44:42Z)
Versatile Weight Attack via Flipping Limited Bits [68.45224286690932]
本研究では,展開段階におけるモデルパラメータを変更する新たな攻撃パラダイムについて検討する。有効性とステルスネスの目標を考慮し、ビットフリップに基づく重み攻撃を行うための一般的な定式化を提供する。 SSA(Single sample attack)とTSA(Singr sample attack)の2例を報告した。
論文参考訳（メタデータ） (2022-07-25T03:24:58Z)
RelaxLoss: Defending Membership Inference Attacks without Losing Utility [68.48117818874155]
より達成可能な学習目標を持つ緩和された損失に基づく新しい学習フレームワークを提案する。 RelaxLossは、簡単な実装と無視可能なオーバーヘッドのメリットを加えた任意の分類モデルに適用できる。当社のアプローチはMIAに対するレジリエンスの観点から,常に最先端の防御機構より優れています。
論文参考訳（メタデータ） (2022-07-12T19:34:47Z)
Optimizing Two-way Partial AUC with an End-to-end Framework [154.47590401735323]
ROC曲線のエリア(AUC)は、機械学習にとって重要な指標である。最近の研究は、TPAUCが既存のPartial AUCメトリクスと本質的に矛盾していることを示している。本論文では,この新指標を最適化するための最初の試行について述べる。
論文参考訳（メタデータ） (2022-06-23T12:21:30Z)
Knowledge-Enriched Distributional Model Inversion Attacks [49.43828150561947]
モデルインバージョン(MI)攻撃は、モデルパラメータからトレーニングデータを再構成することを目的としている。本稿では,パブリックデータからプライベートモデルに対する攻撃を行うのに役立つ知識を抽出する,新しい反転型GANを提案する。実験の結果,これらの手法を組み合わせることで,最先端MI攻撃の成功率を150%向上させることができることがわかった。
論文参考訳（メタデータ） (2020-10-08T16:20:48Z)
How Does Data Augmentation Affect Privacy in Machine Learning? [94.52721115660626]
拡張データの情報を活用するために,新たなMI攻撃を提案する。モデルが拡張データで訓練された場合、最適な会員推定値を確立する。
論文参考訳（メタデータ） (2020-07-21T02:21:10Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。