論文の概要: An Indefensible Attack: Label-Only Model Inversion via Conditional
Diffusion Model
- arxiv url: http://arxiv.org/abs/2307.08424v1
- Date: Mon, 17 Jul 2023 12:14:24 GMT
- ステータス: 処理完了
- システム内更新日: 2023-07-18 13:36:43.990702
- Title: An Indefensible Attack: Label-Only Model Inversion via Conditional
Diffusion Model
- Title(参考訳): indefensible attack:条件拡散モデルによるラベルのみモデルインバージョン
- Authors: Rongke Liu
- Abstract要約: モデルアタック(MIA)は、ターゲットモデルのトレーニングセットからプライベートデータを復元することを目的としており、ディープラーニングモデルのプライバシを脅かす。
本稿では,条件拡散モデルを用いたMIAの新しい手法を開発し,目標の正確なサンプルを余分な最適化なしに回収する。
実験結果から, ラベルのみのシナリオにおいて, 最適化を伴わずに, 目標に対して類似かつ正確なデータを生成することができ, 従来手法のジェネレータよりも優れていたことが示唆された。
- 参考スコア(独自算出の注目度): 8.688291228203271
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Model inversion attacks (MIAs) are aimed at recovering private data from a
target model's training set, which poses a threat to the privacy of deep
learning models. MIAs primarily focus on the white-box scenario where the
attacker has full access to the structure and parameters of the target model.
However, practical applications are black-box, it is not easy for adversaries
to obtain model-related parameters, and various models only output predicted
labels. Existing black-box MIAs primarily focused on designing the optimization
strategy, and the generative model is only migrated from the GAN used in
white-box MIA. Our research is the pioneering study of feasible attack models
in label-only black-box scenarios, to the best of our knowledge.
In this paper, we develop a novel method of MIA using the conditional
diffusion model to recover the precise sample of the target without any extra
optimization, as long as the target model outputs the label. Two primary
techniques are introduced to execute the attack. Firstly, select an auxiliary
dataset that is relevant to the target model task, and the labels predicted by
the target model are used as conditions to guide the training process.
Secondly, target labels and random standard normally distributed noise are
input into the trained conditional diffusion model, generating target samples
with pre-defined guidance strength. We then filter out the most robust and
representative samples. Furthermore, we propose for the first time to use
Learned Perceptual Image Patch Similarity (LPIPS) as one of the evaluation
metrics for MIA, with systematic quantitative and qualitative evaluation in
terms of attack accuracy, realism, and similarity. Experimental results show
that this method can generate similar and accurate data to the target without
optimization and outperforms generators of previous approaches in the
label-only scenario.
- Abstract(参考訳): モデル反転攻撃(MIA)は、ターゲットモデルのトレーニングセットからプライベートデータを復元することを目的としており、ディープラーニングモデルのプライバシを脅かす。
MIAは主に、攻撃者がターゲットモデルの構造とパラメータに完全にアクセスできるホワイトボックスシナリオに焦点を当てている。
しかし、実際の応用はブラックボックスであり、敵がモデル関連パラメータを得るのは容易ではなく、様々なモデルが予測ラベルを出力するのみである。
既存のブラックボックスMIAは主に最適化戦略の設計に重点を置いており、生成モデルはホワイトボックスMIAで使用されるGANからのみ移行されている。
当社の研究は,ラベルのみのブラックボックスシナリオにおける攻撃モデルの実現可能性に関する先駆的な研究である。
本稿では,条件付き拡散モデルを用いたMIAの新しい手法を開発し,目標モデルがラベルを出力する限り,追加の最適化なしにターゲットの正確なサンプルを復元する。
攻撃の実行には2つの主要なテクニックが導入された。
まず、対象モデルタスクに関連する補助データセットを選択し、対象モデルによって予測されたラベルをトレーニングプロセスを導くための条件として使用する。
次に、訓練条件拡散モデルに目標ラベルとランダム分布雑音を入力し、予め定義された誘導強度を有する目標サンプルを生成する。
そして、最も堅牢で代表的なサンプルをフィルターアウトします。
さらに,MIAの評価指標としてLearned Perceptual Image Patch similarity(LPIPS)を初めて用いて,攻撃精度,リアリズム,類似性の観点から,定量的かつ質的な評価を体系的に行うことを提案する。
実験結果から, ラベルのみのシナリオにおいて, 最適化を伴わずに類似かつ正確なデータを生成することができ, 従来の手法のジェネレータよりも優れていることがわかった。
関連論文リスト
- Model Inversion Attacks Through Target-Specific Conditional Diffusion Models [54.69008212790426]
モデル反転攻撃(MIA)は、ターゲット分類器のトレーニングセットからプライベートイメージを再構築することを目的としており、それによってAIアプリケーションにおけるプライバシー上の懸念が高まる。
従来のGANベースのMIAは、GANの固有の欠陥と潜伏空間における最適化の偏りにより、劣った遺伝子的忠実度に悩まされる傾向にある。
これらの問題を緩和するために拡散モデル反転(Diff-MI)攻撃を提案する。
論文 参考訳(メタデータ) (2024-07-16T06:38:49Z) - DTA: Distribution Transform-based Attack for Query-Limited Scenario [11.874670564015789]
敵の例を生成する際、従来のブラックボックス攻撃法は攻撃対象モデルからの十分なフィードバックに依存している。
本稿では,攻撃された動作が限られた数のクエリを実行可能であることをシミュレートするハードラベル攻撃を提案する。
提案したアイデアの有効性とDTAの最先端性を検証する実験を行った。
論文 参考訳(メタデータ) (2023-12-12T13:21:03Z) - Practical Membership Inference Attacks against Fine-tuned Large Language Models via Self-prompt Calibration [32.15773300068426]
メンバーシップ推論攻撃は、対象のデータレコードがモデルトレーニングに使用されたかどうかを推測することを目的としている。
自己校正確率変動(SPV-MIA)に基づくメンバーシップ推論攻撃を提案する。
論文 参考訳(メタデータ) (2023-11-10T13:55:05Z) - Universal Semi-supervised Model Adaptation via Collaborative Consistency
Training [92.52892510093037]
我々は、Universal Semi-supervised Model Adaptation (USMA)と呼ばれる現実的で挑戦的なドメイン適応問題を導入する。
本稿では,2つのモデル間の予測整合性を規則化する協調的整合性トレーニングフレームワークを提案する。
実験により,いくつかのベンチマークデータセットにおける本手法の有効性が示された。
論文 参考訳(メタデータ) (2023-07-07T08:19:40Z) - Query Efficient Cross-Dataset Transferable Black-Box Attack on Action
Recognition [99.29804193431823]
ブラックボックスの敵攻撃は、行動認識システムに現実的な脅威をもたらす。
本稿では,摂動を発生させることにより,これらの欠点に対処する新たな行動認識攻撃を提案する。
提案手法は,最先端のクエリベースおよび転送ベース攻撃と比較して,8%,12%の偽装率を達成する。
論文 参考訳(メタデータ) (2022-11-23T17:47:49Z) - Label-only Model Inversion Attack: The Attack that Requires the Least
Information [14.061083728194378]
モデル反転攻撃では、敵はモデル出力のみを使用してターゲットモデルをトレーニングするために使用されるデータレコードを再構築しようと試みる。
出力ラベルのみに基づいて入力データレコードを再構成できるモデル逆変換法が発見された。
論文 参考訳(メタデータ) (2022-03-13T03:03:49Z) - Label-Only Model Inversion Attacks via Boundary Repulsion [12.374249336222906]
対象モデルの予測ラベルのみを用いて,プライベートトレーニングデータを逆転するアルゴリズムを提案する。
顔認識の例を用いて、BREP-MIで再構成した画像は、プライベートトレーニングデータのセマンティクスを再現することに成功した。
論文 参考訳(メタデータ) (2022-03-03T18:57:57Z) - MEGA: Model Stealing via Collaborative Generator-Substitute Networks [4.065949099860426]
近年のデータフリーモデルステイティングメソッドは,実際のクエリの例を使わずに,ターゲットモデルの知識を抽出するために有効であることが示されている。
本稿では,データフリーモデルステーリングフレームワーク(MEGA)を提案する。
以上の結果から,我々の訓練した代替モデルの精度と敵攻撃成功率は,最先端のデータフリーブラックボックス攻撃よりも最大で33%,40%高い値となる可能性が示唆された。
論文 参考訳(メタデータ) (2022-01-31T09:34:28Z) - Delving into Data: Effectively Substitute Training for Black-box Attack [84.85798059317963]
本稿では,知識盗むプロセスで使用されるデータの分散設計に焦点をあてた,新しい視点代替トレーニングを提案する。
これら2つのモジュールの組み合わせにより、代替モデルとターゲットモデルの一貫性がさらに向上し、敵攻撃の有効性が大幅に向上する。
論文 参考訳(メタデータ) (2021-04-26T07:26:29Z) - Knowledge-Enriched Distributional Model Inversion Attacks [49.43828150561947]
モデルインバージョン(MI)攻撃は、モデルパラメータからトレーニングデータを再構成することを目的としている。
本稿では,パブリックデータからプライベートモデルに対する攻撃を行うのに役立つ知識を抽出する,新しい反転型GANを提案する。
実験の結果,これらの手法を組み合わせることで,最先端MI攻撃の成功率を150%向上させることができることがわかった。
論文 参考訳(メタデータ) (2020-10-08T16:20:48Z) - Boosting Black-Box Attack with Partially Transferred Conditional
Adversarial Distribution [83.02632136860976]
深層ニューラルネットワーク(DNN)に対するブラックボックス攻撃の研究
我々は, 代理バイアスに対して頑健な, 対向移動可能性の新たなメカニズムを開発する。
ベンチマークデータセットの実験と実世界のAPIに対する攻撃は、提案手法の優れた攻撃性能を示す。
論文 参考訳(メタデータ) (2020-06-15T16:45:27Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。