論文の概要: Beyond Labeling Oracles: What does it mean to steal ML models?
- arxiv url: http://arxiv.org/abs/2310.01959v2
- Date: Tue, 21 Nov 2023 09:01:17 GMT
- ステータス: 処理完了
- システム内更新日: 2023-11-23 04:38:36.962327
- Title: Beyond Labeling Oracles: What does it mean to steal ML models?
- Title(参考訳): Oracleのラベル付けを超えて: MLモデルを盗む意味は何でしょうか?
- Authors: Avital Shafran, Ilia Shumailov, Murat A. Erdogdu, Nicolas Papernot
- Abstract要約: モデル抽出攻撃は、クエリアクセスのみで訓練されたモデルを盗むように設計されている。
攻撃者はデータ取得とラベル付けの両方のコストを節約しないことが多い。
- 参考スコア(独自算出の注目度): 57.49901512739509
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Model extraction attacks are designed to steal trained models with only query
access, as is often provided through APIs that ML-as-a-Service providers offer.
ML models are expensive to train, in part because data is hard to obtain, and a
primary incentive for model extraction is to acquire a model while incurring
less cost than training from scratch. Literature on model extraction commonly
claims or presumes that the attacker is able to save on both data acquisition
and labeling costs. We show that the attacker often does not. This is because
current attacks implicitly rely on the adversary being able to sample from the
victim model's data distribution. We thoroughly evaluate factors influencing
the success of model extraction. We discover that prior knowledge of the
attacker, i.e. access to in-distribution data, dominates other factors like the
attack policy the adversary follows to choose which queries to make to the
victim model API. Thus, an adversary looking to develop an equally capable
model with a fixed budget has little practical incentive to perform model
extraction, since for the attack to work they need to collect in-distribution
data, saving only on the cost of labeling. With low labeling costs in the
current market, the usefulness of such attacks is questionable. Ultimately, we
demonstrate that the effect of prior knowledge needs to be explicitly decoupled
from the attack policy. To this end, we propose a benchmark to evaluate attack
policy directly.
- Abstract(参考訳): モデル抽出攻撃は、ML-as-a-Serviceプロバイダが提供するAPIを通じてしばしば提供されるように、クエリアクセスのみでトレーニングされたモデルを盗むように設計されている。
mlモデルは、データ取得が難しいため、トレーニングにコストがかかり、モデル抽出の第一の動機は、スクラッチからトレーニングするよりも少ないコストでモデルを取得することである。
モデル抽出に関する文献では、攻撃者がデータ取得とラベル付けのコストの両方を節約できるという主張や仮定が一般的である。
我々は、攻撃者がしばしばそうではないことを示します。
これは、現在の攻撃が暗黙的に、被害者モデルのデータ分散からサンプルできる敵に依存しているためである。
モデル抽出の成功に影響を及ぼす要因を徹底的に評価する。
攻撃者の事前知識、すなわち配信データへのアクセスが、被害者モデルapiに対するクエリを選択するために敵が従う攻撃ポリシーのような他の要素を支配することを発見した。
したがって、固定予算で同等に有能なモデルを開発する敵は、攻撃が働くためには、配信データを集め、ラベル付けのコストだけを節約する必要があるため、モデル抽出を行うための実践的なインセンティブがほとんどない。
現在の市場でのラベル付けコストが低いため、そのような攻撃の有用性は疑わしい。
最終的には,事前知識の効果を攻撃方針から明確に分離する必要があることを実証する。
そこで本研究では,攻撃方針を直接評価するベンチマークを提案する。
関連論文リスト
- Data-Free Hard-Label Robustness Stealing Attack [67.41281050467889]
本稿では,Data-Free Hard-Label Robustness Stealing(DFHL-RS)攻撃について紹介する。
ターゲットモデルのハードラベルをクエリするだけで、モデル精度とロバスト性の両方を盗むことができる。
本手法は,AutoAttackに対して77.86%,頑健な39.51%の精度を実現する。
論文 参考訳(メタデータ) (2023-12-10T16:14:02Z) - Label-Only Model Inversion Attacks via Knowledge Transfer [35.42380723970432]
モデル反転(MI)攻撃では、敵は機械学習(ML)モデルへのアクセスを悪用し、プライベートデータを推論して再構築する。
ラベルのみのMI攻撃に対する新しいアプローチであるLOKTを提案する。
提案手法は既存のSOTA LabelのみのMI攻撃を全MIベンチマークで15%以上上回っている。
論文 参考訳(メタデータ) (2023-10-30T08:32:12Z) - Unstoppable Attack: Label-Only Model Inversion via Conditional Diffusion
Model [14.834360664780709]
モデルアタック(MIA)は、深層学習モデルの到達不可能なトレーニングセットからプライベートデータを復元することを目的としている。
そこで本研究では,条件拡散モデル(CDM)を応用したMIA手法を開発し,対象ラベル下でのサンプルの回収を行う。
実験結果から,本手法は従来手法よりも高い精度で類似したサンプルをターゲットラベルに生成できることが示唆された。
論文 参考訳(メタデータ) (2023-07-17T12:14:24Z) - Membership Inference Attacks against Synthetic Data through Overfitting
Detection [84.02632160692995]
我々は、攻撃者が基礎となるデータ分布についてある程度の知識を持っていると仮定する現実的なMIA設定について論じる。
生成モデルの局所的なオーバーフィッティングをターゲットとして,メンバシップを推論することを目的とした密度ベースMIAモデルであるDOMIASを提案する。
論文 参考訳(メタデータ) (2023-02-24T11:27:39Z) - Are You Stealing My Model? Sample Correlation for Fingerprinting Deep
Neural Networks [86.55317144826179]
従来の方法は、常にモデル指紋として転送可能な敵の例を利用する。
本稿では,SAmple correlation (SAC) に基づく新しいモデル盗難検出手法を提案する。
SACは、敵の訓練や移動学習を含む様々なモデル盗難攻撃をうまく防いでいる。
論文 参考訳(メタデータ) (2022-10-21T02:07:50Z) - Careful What You Wish For: on the Extraction of Adversarially Trained
Models [2.707154152696381]
最近の機械学習(ML)モデルに対する攻撃は、いくつかのセキュリティとプライバシの脅威を引き起こす。
本稿では,敵の学習したモデルに対する抽出攻撃を評価する枠組みを提案する。
本研究では, 自然学習環境下で得られたモデルよりも, 敵の訓練を受けたモデルの方が抽出攻撃に対して脆弱であることを示す。
論文 参考訳(メタデータ) (2022-07-21T16:04:37Z) - Increasing the Cost of Model Extraction with Calibrated Proof of Work [25.096196576476885]
モデル抽出攻撃では、敵はパブリックAPIを通じて公開された機械学習モデルを盗むことができる。
我々は,モデルの予測を読み取る前に,ユーザが作業の証明を完了するように提案する。
論文 参考訳(メタデータ) (2022-01-23T12:21:28Z) - MEGEX: Data-Free Model Extraction Attack against Gradient-Based
Explainable AI [1.693045612956149]
機械学習・アズ・ア・サービス(ML)にデプロイされたディープニューラルネットワークは、モデル抽出攻撃の脅威に直面している。
モデル抽出攻撃は知的財産権とプライバシーを侵害する攻撃であり、敵は予測だけを使用してクラウド内の訓練されたモデルを盗む。
本稿では、勾配に基づく説明可能なAIに対するデータフリーモデル抽出攻撃であるMEGEXを提案する。
論文 参考訳(メタデータ) (2021-07-19T14:25:06Z) - Learning to Attack: Towards Textual Adversarial Attacking in Real-world
Situations [81.82518920087175]
敵攻撃は、敵の例でディープニューラルネットワークを騙すことを目的としている。
本稿では、攻撃履歴から学習し、より効率的に攻撃を開始することができる強化学習に基づく攻撃モデルを提案する。
論文 参考訳(メタデータ) (2020-09-19T09:12:24Z) - Adversarial Imitation Attack [63.76805962712481]
現実的な敵攻撃は、攻撃されたモデルの知識をできるだけ少なくする必要がある。
現在の代替攻撃では、敵の例を生成するために事前訓練されたモデルが必要である。
本研究では,新たな敵模倣攻撃を提案する。
論文 参考訳(メタデータ) (2020-03-28T10:02:49Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。