論文の概要: Do Parameters Reveal More than Loss for Membership Inference?
- arxiv url: http://arxiv.org/abs/2406.11544v3
- Date: Tue, 17 Dec 2024 04:40:52 GMT
- ステータス: 翻訳完了
- システム内更新日: 2024-12-18 13:56:17.375642
- Title: Do Parameters Reveal More than Loss for Membership Inference?
- Title(参考訳): パラメータは、メンバーシップ推論の損失よりも大きいか?
- Authors: Anshuman Suri, Xiao Zhang, David Evans,
- Abstract要約: 最適メンバーシップ推論には、ホワイトボックスアクセスが本当に必要であることを示す。
我々の理論的結果は、新しいホワイトボックス推論攻撃、IHA(Inverse Hessian Attack)につながる。
- 参考スコア(独自算出の注目度): 10.790613359615717
- License:
- Abstract: Membership inference attacks are used as a key tool for disclosure auditing. They aim to infer whether an individual record was used to train a model. While such evaluations are useful to demonstrate risk, they are computationally expensive and often make strong assumptions about potential adversaries' access to models and training environments, and thus do not provide tight bounds on leakage from potential attacks. We show how prior claims around black-box access being sufficient for optimal membership inference do not hold for stochastic gradient descent, and that optimal membership inference indeed requires white-box access. Our theoretical results lead to a new white-box inference attack, IHA (Inverse Hessian Attack), that explicitly uses model parameters by taking advantage of computing inverse-Hessian vector products. Our results show that both auditors and adversaries may be able to benefit from access to model parameters, and we advocate for further research into white-box methods for membership inference.
- Abstract(参考訳): メンバーシップ推論攻撃は、開示監査の鍵となるツールとして使用される。
彼らは、個々のレコードがモデルのトレーニングに使用されたかどうかを推測することを目的としている。
このような評価はリスクを示すのに有用であるが、計算コストが高く、しばしば潜在的な敵がモデルや訓練環境にアクセスできることを強く仮定する。
我々は、ブラックボックスアクセスに関する以前の主張が、最適なメンバーシップ推論には十分でないことを示し、また、最適なメンバーシップ推論は、実際にホワイトボックスアクセスを必要とすることを示している。
我々の理論的結果は、逆ヘッセンベクトル積の計算を生かしてモデルパラメータを明示的に使用する新しいホワイトボックス推論攻撃であるIHA(Inverse Hessian Attack)に繋がる。
この結果から, オーディエンタと敵の双方がモデルパラメータへのアクセスから恩恵を受けられる可能性が示唆され, 会員推定のためのホワイトボックス手法のさらなる研究が提唱されている。
関連論文リスト
- Adversarial Robustification via Text-to-Image Diffusion Models [56.37291240867549]
アドリラルロバスト性は、ニューラルネットワークをエンコードする難しい性質として伝統的に信じられてきた。
データを使わずに敵の堅牢性を実現するために,スケーラブルでモデルに依存しないソリューションを開発した。
論文 参考訳(メタデータ) (2024-07-26T10:49:14Z) - Better Membership Inference Privacy Measurement through Discrepancy [25.48677069802298]
本稿では,新たな経験的プライバシ指標を提案する。
我々は,この指標が複数のモデルのトレーニングを伴わず,大規模なイメージネット分類モデルに適用可能であることを示し,より最新で洗練されたトレーニングレシピでトレーニングされたモデルの既存の指標よりも有利であることを示した。
論文 参考訳(メタデータ) (2024-05-24T01:33:22Z) - Can Membership Inferencing be Refuted? [31.31060116447964]
本研究では,実際に会員推論攻撃の信頼性について検討する。
モデルオーナは,データポイント$x$のメンバシップ推論テストの結果に対して,検証の証明を構築することで,妥当に反証できることを示す。
本研究の結果は,実際に会員推論攻撃がもたらす影響を再評価するものである。
論文 参考訳(メタデータ) (2023-03-07T04:36:35Z) - Purifier: Defending Data Inference Attacks via Transforming Confidence
Scores [27.330482508047428]
そこで本研究では,PURIFIER(PURIFIER)を用いたメンバシップ推論攻撃に対する防御手法を提案する。
PURIFIERはメンバーシップ推論攻撃を高い効率と効率で防御する。
PURIFIERは、敵のモデル反転攻撃や属性推論攻撃の防御にも有効である。
論文 参考訳(メタデータ) (2022-12-01T16:09:50Z) - Query Efficient Cross-Dataset Transferable Black-Box Attack on Action
Recognition [99.29804193431823]
ブラックボックスの敵攻撃は、行動認識システムに現実的な脅威をもたらす。
本稿では,摂動を発生させることにより,これらの欠点に対処する新たな行動認識攻撃を提案する。
提案手法は,最先端のクエリベースおよび転送ベース攻撃と比較して,8%,12%の偽装率を達成する。
論文 参考訳(メタデータ) (2022-11-23T17:47:49Z) - Canary in a Coalmine: Better Membership Inference with Ensembled
Adversarial Queries [53.222218035435006]
私たちは、差別的で多様なクエリを最適化するために、逆ツールを使用します。
我々の改善は既存の方法よりもはるかに正確な会員推定を実現している。
論文 参考訳(メタデータ) (2022-10-19T17:46:50Z) - Robust Transferable Feature Extractors: Learning to Defend Pre-Trained
Networks Against White Box Adversaries [69.53730499849023]
また, 予測誤差を誘導するために, 逆例を独立に学習した別のモデルに移すことが可能であることを示す。
本稿では,頑健な伝達可能な特徴抽出器(RTFE)と呼ばれる,ディープラーニングに基づく事前処理機構を提案する。
論文 参考訳(メタデータ) (2022-09-14T21:09:34Z) - One Parameter Defense -- Defending against Data Inference Attacks via
Differential Privacy [26.000487178636927]
機械学習モデルは、メンバシップ推論やモデル反転攻撃のようなデータ推論攻撃に弱い。
既存の防衛方法は、メンバーシップ推論攻撃からのみ保護する。
両攻撃を時間効率で処理する差分プライベートディフェンス法を提案する。
論文 参考訳(メタデータ) (2022-03-13T06:06:24Z) - Sampling Attacks: Amplification of Membership Inference Attacks by
Repeated Queries [74.59376038272661]
本手法は,他の標準メンバーシップ相手と異なり,被害者モデルのスコアにアクセスできないような厳格な制限の下で動作可能な,新しいメンバーシップ推論手法であるサンプリングアタックを導入する。
ラベルのみを公開している被害者モデルでは,攻撃のサンプリングが引き続き可能であり,攻撃者はその性能の最大100%を回復できることを示す。
防衛においては,被害者モデルのトレーニング中の勾配摂動と予測時の出力摂動の形式で差分プライバシーを選択する。
論文 参考訳(メタデータ) (2020-09-01T12:54:54Z) - Revisiting Membership Inference Under Realistic Assumptions [87.13552321332988]
従来研究でよく用いられていた仮定のいくつかが緩和された環境での会員推定について検討する。
この設定は、研究者が通常考慮するバランスのとれた事前設定よりも現実的である。
我々は、トレーニングセットメンバーに対応する入力が損失関数の局所最小値に近いという直感に基づく新しい推論攻撃を開発する。
論文 参考訳(メタデータ) (2020-05-21T20:17:42Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。