論文の概要: Beyond Labeling Oracles: What does it mean to steal ML models?

• arxiv url: http://arxiv.org/abs/2310.01959v2
• Date: Tue, 21 Nov 2023 09:01:17 GMT
• ステータス: 処理完了
• システム内更新日: 2023-11-23 04:38:36.962327
• Title: Beyond Labeling Oracles: What does it mean to steal ML models?
• Title（参考訳）: Oracleのラベル付けを超えて: MLモデルを盗む意味は何でしょうか?
• Authors: Avital Shafran, Ilia Shumailov, Murat A. Erdogdu, Nicolas Papernot
• Abstract要約: モデル抽出攻撃は、クエリアクセスのみで訓練されたモデルを盗むように設計されている。 攻撃者はデータ取得とラベル付けの両方のコストを節約しないことが多い。
• 参考スコア（独自算出の注目度）: 57.49901512739509
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Model extraction attacks are designed to steal trained models with only query access, as is often provided through APIs that ML-as-a-Service providers offer. ML models are expensive to train, in part because data is hard to obtain, and a primary incentive for model extraction is to acquire a model while incurring less cost than training from scratch. Literature on model extraction commonly claims or presumes that the attacker is able to save on both data acquisition and labeling costs. We show that the attacker often does not. This is because current attacks implicitly rely on the adversary being able to sample from the victim model's data distribution. We thoroughly evaluate factors influencing the success of model extraction. We discover that prior knowledge of the attacker, i.e. access to in-distribution data, dominates other factors like the attack policy the adversary follows to choose which queries to make to the victim model API. Thus, an adversary looking to develop an equally capable model with a fixed budget has little practical incentive to perform model extraction, since for the attack to work they need to collect in-distribution data, saving only on the cost of labeling. With low labeling costs in the current market, the usefulness of such attacks is questionable. Ultimately, we demonstrate that the effect of prior knowledge needs to be explicitly decoupled from the attack policy. To this end, we propose a benchmark to evaluate attack policy directly.
• Abstract（参考訳）: モデル抽出攻撃は、ML-as-a-Serviceプロバイダが提供するAPIを通じてしばしば提供されるように、クエリアクセスのみでトレーニングされたモデルを盗むように設計されている。 mlモデルは、データ取得が難しいため、トレーニングにコストがかかり、モデル抽出の第一の動機は、スクラッチからトレーニングするよりも少ないコストでモデルを取得することである。 モデル抽出に関する文献では、攻撃者がデータ取得とラベル付けのコストの両方を節約できるという主張や仮定が一般的である。 我々は、攻撃者がしばしばそうではないことを示します。 これは、現在の攻撃が暗黙的に、被害者モデルのデータ分散からサンプルできる敵に依存しているためである。 モデル抽出の成功に影響を及ぼす要因を徹底的に評価する。 攻撃者の事前知識、すなわち配信データへのアクセスが、被害者モデルapiに対するクエリを選択するために敵が従う攻撃ポリシーのような他の要素を支配することを発見した。 したがって、固定予算で同等に有能なモデルを開発する敵は、攻撃が働くためには、配信データを集め、ラベル付けのコストだけを節約する必要があるため、モデル抽出を行うための実践的なインセンティブがほとんどない。 現在の市場でのラベル付けコストが低いため、そのような攻撃の有用性は疑わしい。 最終的には,事前知識の効果を攻撃方針から明確に分離する必要があることを実証する。 そこで本研究では,攻撃方針を直接評価するベンチマークを提案する。

関連論文リスト

• Army of Thieves: Enhancing Black-Box Model Extraction via Ensemble based sample selection [10.513955887214497]
  Model Stealing Attacks (MSA)では、ラベル付きデータセットを構築するために、機械学習モデルを繰り返しクエリされる。 本研究では,泥棒モデルとして深層学習モデルのアンサンブルの利用について検討する。 CIFAR-10データセットでトレーニングしたモデルに対して,従来よりも21%高い逆サンプル転送性を実現する。
  論文  参考訳（メタデータ） (2023-11-08T10:31:29Z)
• Membership Inference Attacks against Synthetic Data through Overfitting Detection [84.02632160692995]
  我々は、攻撃者が基礎となるデータ分布についてある程度の知識を持っていると仮定する現実的なMIA設定について論じる。 生成モデルの局所的なオーバーフィッティングをターゲットとして,メンバシップを推論することを目的とした密度ベースMIAモデルであるDOMIASを提案する。
  論文  参考訳（メタデータ） (2023-02-24T11:27:39Z)
• Are You Stealing My Model? Sample Correlation for Fingerprinting Deep Neural Networks [86.55317144826179]
  従来の方法は、常にモデル指紋として転送可能な敵の例を利用する。 本稿では,SAmple correlation (SAC) に基づく新しいモデル盗難検出手法を提案する。 SACは、敵の訓練や移動学習を含む様々なモデル盗難攻撃をうまく防いでいる。
  論文  参考訳（メタデータ） (2022-10-21T02:07:50Z)
• Dataset Inference for Self-Supervised Models [21.119579812529395]
  機械学習(ML)における自己教師型モデルの普及 それらは、出力するベクトル表現の高次元性のために、モデルステルス攻撃に対して脆弱である。 我々は、被害者エンコーダモデルのプライベートトレーニングセットを使用して、盗難時にその所有権を属性とする新しいデータセット推論ディフェンスを導入する。
  論文  参考訳（メタデータ） (2022-09-16T15:39:06Z)
• MOVE: Effective and Harmless Ownership Verification via Embedded External Features [109.19238806106426]
  本稿では,異なる種類のモデル盗難を同時に防ぐために,効果的かつ無害なモデル所有者認証(MOVE)を提案する。 我々は、疑わしいモデルがディフェンダー特定外部特徴の知識を含むかどうかを検証し、所有権検証を行う。 特に、包括的モデル保護を提供するために、ホワイトボックスとブラックボックスの両方の設定でMOVE法を開発した。
  論文  参考訳（メタデータ） (2022-08-04T02:22:29Z)
• Careful What You Wish For: on the Extraction of Adversarially Trained Models [2.707154152696381]
  最近の機械学習(ML)モデルに対する攻撃は、いくつかのセキュリティとプライバシの脅威を引き起こす。 本稿では,敵の学習したモデルに対する抽出攻撃を評価する枠組みを提案する。 本研究では, 自然学習環境下で得られたモデルよりも, 敵の訓練を受けたモデルの方が抽出攻撃に対して脆弱であることを示す。
  論文  参考訳（メタデータ） (2022-07-21T16:04:37Z)
• Increasing the Cost of Model Extraction with Calibrated Proof of Work [25.096196576476885]
  モデル抽出攻撃では、敵はパブリックAPIを通じて公開された機械学習モデルを盗むことができる。 我々は,モデルの予測を読み取る前に,ユーザが作業の証明を完了するように提案する。
  論文  参考訳（メタデータ） (2022-01-23T12:21:28Z)
• Defending against Model Stealing via Verifying Embedded External Features [90.29429679125508]
  トレーニングサンプルがなく、モデルパラメータや構造にアクセスできない場合でも、敵はデプロイされたモデルを盗むことができる。 我々は、不審なモデルがディフェンダー特定遠近法の特徴の知識を含んでいるかどうかを検証することによって、他の角度からの防御を探索する。 本手法は, 複数段階の盗難処理によって盗難モデルが得られた場合でも, 同時に異なる種類の盗難モデルを検出するのに有効である。
  論文  参考訳（メタデータ） (2021-12-07T03:51:54Z)
• MEGEX: Data-Free Model Extraction Attack against Gradient-Based Explainable AI [1.693045612956149]
  機械学習・アズ・ア・サービス(ML)にデプロイされたディープニューラルネットワークは、モデル抽出攻撃の脅威に直面している。 モデル抽出攻撃は知的財産権とプライバシーを侵害する攻撃であり、敵は予測だけを使用してクラウド内の訓練されたモデルを盗む。 本稿では、勾配に基づく説明可能なAIに対するデータフリーモデル抽出攻撃であるMEGEXを提案する。
  論文  参考訳（メタデータ） (2021-07-19T14:25:06Z)
• Knowledge-Enriched Distributional Model Inversion Attacks [49.43828150561947]
  モデルインバージョン(MI)攻撃は、モデルパラメータからトレーニングデータを再構成することを目的としている。 本稿では,パブリックデータからプライベートモデルに対する攻撃を行うのに役立つ知識を抽出する,新しい反転型GANを提案する。 実験の結果,これらの手法を組み合わせることで,最先端MI攻撃の成功率を150%向上させることができることがわかった。
  論文  参考訳（メタデータ） (2020-10-08T16:20:48Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。