論文の概要: Double-Dip: Thwarting Label-Only Membership Inference Attacks with Transfer Learning and Randomization

• arxiv url: http://arxiv.org/abs/2402.01114v1
• Date: Fri, 2 Feb 2024 03:14:37 GMT
• ステータス: 処理完了
• システム内更新日: 2024-02-05 17:03:48.014283
• Title: Double-Dip: Thwarting Label-Only Membership Inference Attacks with Transfer Learning and Randomization
• Title（参考訳）: double-dip: 転送学習とランダム化によるラベルのみのメンバーシップ推論攻撃
• Authors: Arezoo Rajabi, Reeya Pimple, Aiswarya Janardhanan, Surudhi Asokraj, Bhaskar Ramasubramanian, Radha Poovendran
• Abstract要約: 会員推論攻撃(MIAs)と呼ばれるプライバシー攻撃のクラスは、与えられたサンプルがトレーニングデータセット(メンバー)に属しているかどうか(非メンバー)を決定することを目的としている。
• 参考スコア（独自算出の注目度）: 2.6121142662033923
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Transfer learning (TL) has been demonstrated to improve DNN model performance when faced with a scarcity of training samples. However, the suitability of TL as a solution to reduce vulnerability of overfitted DNNs to privacy attacks is unexplored. A class of privacy attacks called membership inference attacks (MIAs) aim to determine whether a given sample belongs to the training dataset (member) or not (nonmember). We introduce Double-Dip, a systematic empirical study investigating the use of TL (Stage-1) combined with randomization (Stage-2) to thwart MIAs on overfitted DNNs without degrading classification accuracy. Our study examines the roles of shared feature space and parameter values between source and target models, number of frozen layers, and complexity of pretrained models. We evaluate Double-Dip on three (Target, Source) dataset paris: (i) (CIFAR-10, ImageNet), (ii) (GTSRB, ImageNet), (iii) (CelebA, VGGFace2). We consider four publicly available pretrained DNNs: (a) VGG-19, (b) ResNet-18, (c) Swin-T, and (d) FaceNet. Our experiments demonstrate that Stage-1 reduces adversary success while also significantly increasing classification accuracy of nonmembers against an adversary with either white-box or black-box DNN model access, attempting to carry out SOTA label-only MIAs. After Stage-2, success of an adversary carrying out a label-only MIA is further reduced to near 50%, bringing it closer to a random guess and showing the effectiveness of Double-Dip. Stage-2 of Double-Dip also achieves lower ASR and higher classification accuracy than regularization and differential privacy-based methods.
• Abstract（参考訳）: トランスファーラーニング(TL)は、トレーニングサンプルの不足に直面した場合、DNNモデルの性能を向上させることが実証されている。 しかし、プライバシー攻撃に対する過度に適合したDNNの脆弱性を軽減するソリューションとしてのTLの適合性は未解明である。 メンバーシップ推論攻撃(MIA)と呼ばれるプライバシー攻撃のクラスは、与えられたサンプルがトレーニングデータセット(メンバー)に属しているかどうか(メンバーではない)を決定することを目的としている。 TL (Stage-1) とランダム化 (Stage-2) を併用して, 分類精度を低下させることなく, 過度に適合したDNN上でMIAを阻止するシステム実験であるDouble-Dipを導入する。 本研究では,共有特徴空間の役割と,ソースモデルとターゲットモデル間のパラメータ値,凍結層数,事前学習モデルの複雑さについて検討する。 3つの(ターゲット、ソース)データセットのダブルディップを評価する。 (i)(CIFAR-10、ImageNet) (II)(GTSRB、ImageNet) (iii) (CelebA, VGGFace2)。 公開されている4つのDNNについて検討する。 (a)VGG-19 (b)ResNet-18 (c)Swin-T, (d)FaceNet。 実験の結果,Stage-1は敵に対する非メンバーの分類精度を著しく向上させるとともに,White-box または Black-box DNN モデルアクセスを用いて,SOTA ラベルのみの MIA の実行を試みた。 ステージ2の後、ラベルのみのMIAを実行する敵の成功はさらに50%近く減少し、ランダムな推測に近づき、ダブルディップの有効性を示す。 ダブルディップのステージ2はまた、正規化や差分プライバシーに基づく手法よりも低いASRと高い分類精度を達成する。

関連論文リスト

• Training on Fake Labels: Mitigating Label Leakage in Split Learning via Secure Dimension Transformation [10.404379188947383]
  ふたつのパーティ分割学習は、ラベル推論攻撃を生き残ることが証明されている。 そこで本稿では,既存のラベル推論攻撃を防御する二者分割学習手法を提案する。
  論文  参考訳（メタデータ） (2024-10-11T09:25:21Z)
• Graph Transductive Defense: a Two-Stage Defense for Graph Membership Inference Attacks [50.19590901147213]
  グラフニューラルネットワーク(GNN)は、さまざまな現実世界のアプリケーションにおいて、強力なグラフ学習機能を提供する。 GNNは、メンバーシップ推論攻撃(MIA)を含む敵攻撃に対して脆弱である 本稿では,グラフトランスダクティブ学習特性に合わせて,グラフトランスダクティブ・ディフェンス(GTD)を提案する。
  論文  参考訳（メタデータ） (2024-06-12T06:36:37Z)
• Practical Membership Inference Attacks against Fine-tuned Large Language Models via Self-prompt Calibration [32.15773300068426]
  メンバーシップ推論攻撃は、対象のデータレコードがモデルトレーニングに使用されたかどうかを推測することを目的としている。 自己校正確率変動(SPV-MIA)に基づくメンバーシップ推論攻撃を提案する。
  論文  参考訳（メタデータ） (2023-11-10T13:55:05Z)
• DualMatch: Robust Semi-Supervised Learning with Dual-Level Interaction [10.775623936099173]
  従来の半教師付き学習手法は、通常、異なるデータ拡張ビューのモデル予測を単一レベルのインタラクション方法で一致させる。 本稿では,DualMatchと呼ばれる新しいSSL方式を提案する。 標準SSL設定では、SOTA法と比較して9%のエラー削減が達成されるが、より困難なクラス不均衡設定でも6%のエラー削減が達成できる。
  論文  参考訳（メタデータ） (2023-10-25T08:34:05Z)
• Semi-Supervised Learning with Multiple Imputations on Non-Random Missing Labels [0.0]
  Semi-Supervised Learning (SSL)は、ラベル付きデータとラベルなしデータの両方でアルゴリズムがトレーニングされるときに実装される。 本稿では,より高精度でバイアスの少ない複数の計算モデルを組み合わせるための2つの新しい手法を提案する。
  論文  参考訳（メタデータ） (2023-08-15T04:09:53Z)
• Microbial Genetic Algorithm-based Black-box Attack against Interpretable Deep Learning Systems [16.13790238416691]
  ホワイトボックス環境では、解釈可能なディープラーニングシステム(IDLS)が悪意のある操作に対して脆弱であることが示されている。 本稿では,IDLSに対するクエリ効率の高いScoreベースのブラックボックス攻撃QuScoreを提案する。
  論文  参考訳（メタデータ） (2023-07-13T00:08:52Z)
• TWINS: A Fine-Tuning Framework for Improved Transferability of Adversarial Robustness and Generalization [89.54947228958494]
  本稿では,様々な分類タスクにおいて,逆向きに事前訓練されたモデルの微調整に焦点を当てる。 本稿では,TWINS(Two-WIng NormliSation)ファインチューニングフレームワークを提案する。 TWINSは、一般化とロバスト性の両方の観点から、幅広い画像分類データセットに有効であることが示されている。
  論文  参考訳（メタデータ） (2023-03-20T14:12:55Z)
• RelaxLoss: Defending Membership Inference Attacks without Losing Utility [68.48117818874155]
  より達成可能な学習目標を持つ緩和された損失に基づく新しい学習フレームワークを提案する。 RelaxLossは、簡単な実装と無視可能なオーバーヘッドのメリットを加えた任意の分類モデルに適用できる。 当社のアプローチはMIAに対するレジリエンスの観点から,常に最先端の防御機構より優れています。
  論文  参考訳（メタデータ） (2022-07-12T19:34:47Z)
• Towards Adversarial Patch Analysis and Certified Defense against Crowd Counting [61.99564267735242]
  安全クリティカルな監視システムの重要性から、群衆のカウントは多くの注目を集めています。 近年の研究では、ディープニューラルネットワーク(DNN)の手法が敵の攻撃に弱いことが示されている。 群衆カウントモデルのロバスト性を評価するために,Momentumを用いた攻撃戦略としてAdversarial Patch Attackを提案する。
  論文  参考訳（メタデータ） (2021-04-22T05:10:55Z)
• S2-BNN: Bridging the Gap Between Self-Supervised Real and 1-bit Neural Networks via Guided Distribution Calibration [74.5509794733707]
  本研究では, 実数値から, 最終予測分布上のバイナリネットワークへの誘導型学習パラダイムを提案する。 提案手法は,bnn上で5.515%の絶対利得で,単純なコントラスト学習ベースラインを向上できる。 提案手法は、単純なコントラスト学習ベースラインよりも大幅に改善され、多くの主流教師付きBNN手法に匹敵する。
  論文  参考訳（メタデータ） (2021-02-17T18:59:28Z)
• Two-phase Pseudo Label Densification for Self-training based Domain Adaptation [93.03265290594278]
  TPLDと呼ばれる,新規な二相擬似ラベル高密度化フレームワークを提案する。 第1フェーズでは,スライディングウインドウ投票を用いて,画像内の内在的空間相関を利用して,自信のある予測を広める。 第2フェーズでは,信頼度に基づく容易な分類を行う。 トレーニングプロセスの容易化と騒音予測の回避を目的として,ブートストラップ機構の導入を行った。
  論文  参考訳（メタデータ） (2020-12-09T02:35:25Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。