論文の概要: Random Erasing vs. Model Inversion: A Promising Defense or a False Hope?

• arxiv url: http://arxiv.org/abs/2409.01062v3
• Date: Wed, 06 Aug 2025 05:41:14 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-08-07 15:43:07.409551
• Title: Random Erasing vs. Model Inversion: A Promising Defense or a False Hope?
• Title（参考訳）: ランダム消去対モデル逆転:プロミージングディフェンスか偽の希望か?
• Authors: Viet-Hung Tran, Ngoc-Bao Nguyen, Son T. Mai, Hans Vandierendonck, Ira Assent, Alex Kot, Ngai-Man Cheung,
• Abstract要約: Model Inversion(MI)攻撃は、マシンラーニングモデルからプライベートトレーニングデータを再構築することで、重大なプライバシー上の脅威となる。 我々は、MI攻撃に対する防御として、その驚くべき効果を明らかにするためにランダム消去(RE)を探索する。 以上の結果から,REは従来のプライバシ保護技術と容易に統合可能な,シンプルかつ効果的な防御機構であることがわかった。
• 参考スコア（独自算出の注目度）: 25.265902142904373
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Model Inversion (MI) attacks pose a significant privacy threat by reconstructing private training data from machine learning models. While existing defenses primarily concentrate on model-centric approaches, the impact of data on MI robustness remains largely unexplored. In this work, we explore Random Erasing (RE), a technique traditionally used for improving model generalization under occlusion, and uncover its surprising effectiveness as a defense against MI attacks. Specifically, our novel feature space analysis shows that models trained with RE-images introduce a significant discrepancy between the features of MI-reconstructed images and those of the private data. At the same time, features of private images remain distinct from other classes and well-separated from different classification regions. These effects collectively degrade MI reconstruction quality and attack accuracy while maintaining reasonable natural accuracy. Furthermore, we explore two critical properties of RE including Partial Erasure and Random Location. Partial Erasure prevents the model from observing entire objects during training. We find this has a significant impact on MI, which aims to reconstruct the entire objects. Random Location of erasure plays a crucial role in achieving a strong privacy-utility trade-off. Our findings highlight RE as a simple yet effective defense mechanism that can be easily integrated with existing privacy-preserving techniques. Extensive experiments across 37 setups demonstrate that our method achieves state-of-the-art (SOTA) performance in the privacy-utility trade-off. The results consistently demonstrate the superiority of our defense over existing methods across different MI attacks, network architectures, and attack configurations. For the first time, we achieve a significant degradation in attack accuracy without a decrease in utility for some configurations.
• Abstract（参考訳）: Model Inversion(MI)攻撃は、マシンラーニングモデルからプライベートトレーニングデータを再構築することで、重大なプライバシー上の脅威となる。 既存の防御は主にモデル中心のアプローチに重点を置いているが、MIの堅牢性に対するデータの影響は未解明のままである。 本研究では,従来,隠蔽下でのモデル一般化を改善する手法であるランダム消去(RE)について検討し,MI攻撃に対する防御として,その驚くべき効果を明らかにする。 特に,新しい特徴空間解析により,MI再構成画像の特徴とプライベートデータの特徴との間に,Re-imagesで訓練されたモデルが大きな相違点をもたらすことが示された。 同時に、私的画像の特徴は他のクラスとは異なるままであり、異なる分類領域から明確に分離されている。 これらの効果はMI復元品質を低下させ、適切な自然な精度を維持しながら攻撃精度を低下させる。 さらに,部分消去とランダムロケーションを含むREの2つの重要な特性について検討する。 部分的消去は、トレーニング中にモデルがオブジェクト全体を観察するのを防ぐ。 これは、オブジェクト全体を再構築することを目的としたMIに大きな影響を与えます。 消去のランダムな場所は、強力なプライバシー利用トレードオフを達成する上で重要な役割を担っている。 以上の結果から,REは従来のプライバシ保護技術と容易に統合可能な,シンプルかつ効果的な防御機構であることがわかった。 37施設にわたる大規模な実験により,プライバシ・ユーティリティ・トレードオフにおいて,本手法がSOTA(State-of-the-art)性能を達成することを示す。 結果は、異なるMI攻撃、ネットワークアーキテクチャ、アタック構成にまたがる既存のメソッドに対する防御の優位性を一貫して示している。 攻撃の精度を著しく低下させるが、一部の構成では実用性は低下しない。

関連論文リスト

• MISLEADER: Defending against Model Extraction with Ensembles of Distilled Models [56.09354775405601]
  モデル抽出攻撃は、クエリアクセスを通じてブラックボックスモデルの機能を複製することを目的としている。 既存のディフェンスでは、アタッカークエリにはオフ・オブ・ディストリビューション(OOD)サンプルがあることを前提としており、不審な入力を検出し破壊することができる。 OOD仮定に依存しない新しい防衛戦略であるMISLEADERを提案する。
  論文  参考訳（メタデータ） (2025-06-03T01:37:09Z)
• A Sample-Level Evaluation and Generative Framework for Model Inversion Attacks [26.585927770608105]
  モデル反転(MI)攻撃は機械学習において重大なプライバシー上の懸念を引き起こす。 最近のMI攻撃は、現実的なラベルレベルのプライベートデータを再構築することに成功した。 単一対象サンプルのプライベート情報であるサンプルレベルのプライバシも重要であるが,MI文献では未検討である。
  論文  参考訳（メタデータ） (2025-02-26T11:50:43Z)
• CALoR: Towards Comprehensive Model Inversion Defense [43.2642796582236]
  Model Inversion Attacks (MIAs)は、プライバシに敏感なトレーニングデータを、リリースされた機械学習モデルにエンコードされた知識から回復することを目的としている。 MIA分野の最近の進歩は、複数のシナリオにおける攻撃性能を大幅に向上させた。 信頼性適応と低ランク圧縮を統合した堅牢な防御機構を提案する。
  論文  参考訳（メタデータ） (2024-10-08T08:44:01Z)
• Model Inversion Robustness: Can Transfer Learning Help? [27.883074562565877]
  Model Inversion (MI)攻撃は、機械学習モデルへのアクセスを悪用することで、プライベートトレーニングデータを再構築することを目的としている。 我々は,MI-robustモデルをレンダリングするために,Transfer Learning-based Defense against Model Inversion (TL-DMI)を提案する。 ベルとホイッスルを使わずにSOTA(State-of-the-art)MIロバスト性を実現する。
  論文  参考訳（メタデータ） (2024-05-09T07:24:28Z)
• MIST: Defending Against Membership Inference Attacks Through Membership-Invariant Subspace Training [20.303439793769854]
  メンバー推論(MI)攻撃は、プライベートデータを使用して機械学習(ML)モデルをトレーニングする際の大きなプライバシー上の問題である。 我々はMI攻撃を防御する新しいメンバーシップ・不変部分空間訓練(MIST)手法を提案する。
  論文  参考訳（メタデータ） (2023-11-02T01:25:49Z)
• Accurate, Explainable, and Private Models: Providing Recourse While Minimizing Training Data Leakage [10.921553888358375]
  本稿では,2つの新しい手法について述べる。 DPM と LR は,相手が推測できることを減らすのに有効である。
  論文  参考訳（メタデータ） (2023-08-08T15:38:55Z)
• Isolation and Induction: Training Robust Deep Neural Networks against Model Stealing Attacks [51.51023951695014]
  既存のモデル盗難防衛は、被害者の後部確率に偽りの摂動を加え、攻撃者を誤解させる。 本稿では,モデルステルス防衛のための新規かつ効果的なトレーニングフレームワークである分離誘導(InI)を提案する。 モデルの精度を損なうモデル予測に摂動を加えるのとは対照的に、我々はモデルを訓練して、盗むクエリに対して非形式的なアウトプットを生成する。
  論文  参考訳（メタデータ） (2023-08-02T05:54:01Z)
• Avoid Adversarial Adaption in Federated Learning by Multi-Metric Investigations [55.2480439325792]
  Federated Learning(FL)は、分散機械学習モデルのトレーニング、データのプライバシの保護、通信コストの低減、多様化したデータソースによるモデルパフォーマンスの向上を支援する。 FLは、中毒攻撃、標的外のパフォーマンス劣化とターゲットのバックドア攻撃の両方でモデルの整合性を損なうような脆弱性に直面している。 我々は、複数の目的に同時に適応できる、強い適応的敵の概念を新たに定義する。 MESASは、実際のデータシナリオで有効であり、平均オーバーヘッドは24.37秒である。
  論文  参考訳（メタデータ） (2023-06-06T11:44:42Z)
• Re-thinking Model Inversion Attacks Against Deep Neural Networks [34.87141698143304]
  モデルインバージョン(MI)攻撃は、モデルへのアクセスを悪用することで、プライベートトレーニングデータを推論し、再構築することを目的としている。 MIの最近のアルゴリズムは攻撃性能を改善するために提案されている。 我々は、すべての最先端(SOTA)MIアルゴリズムに関する2つの基本的な問題について研究する。
  論文  参考訳（メタデータ） (2023-04-04T09:58:07Z)
• Data Forensics in Diffusion Models: A Systematic Analysis of Membership Privacy [62.16582309504159]
  本研究では,拡散モデルに対するメンバシップ推論攻撃の系統的解析を開発し,各攻撃シナリオに適した新しい攻撃手法を提案する。 提案手法は容易に入手可能な量を利用して,現実的なシナリオにおいてほぼ完全な攻撃性能 (>0.9 AUCROC) を達成することができる。
  論文  参考訳（メタデータ） (2023-02-15T17:37:49Z)
• CANIFE: Crafting Canaries for Empirical Privacy Measurement in Federated Learning [77.27443885999404]
  Federated Learning(FL)は、分散環境で機械学習モデルをトレーニングするための設定である。 本稿では,訓練ラウンドの経験的プライバシを評価するために,強敵による慎重なサンプル作成手法であるCANIFEを提案する。
  論文  参考訳（メタデータ） (2022-10-06T13:30:16Z)
• RelaxLoss: Defending Membership Inference Attacks without Losing Utility [68.48117818874155]
  より達成可能な学習目標を持つ緩和された損失に基づく新しい学習フレームワークを提案する。 RelaxLossは、簡単な実装と無視可能なオーバーヘッドのメリットを加えた任意の分類モデルに適用できる。 当社のアプローチはMIAに対するレジリエンスの観点から,常に最先端の防御機構より優れています。
  論文  参考訳（メタデータ） (2022-07-12T19:34:47Z)
• Defending against Reconstruction Attacks with R\'enyi Differential Privacy [72.1188520352079]
  レコンストラクション攻撃により、敵は訓練されたモデルのみにアクセスすることで、トレーニングセットのデータサンプルを再生することができる。 差別化プライバシはこのような攻撃に対する既知の解決策であるが、比較的大きなプライバシ予算で使用されることが多い。 また、同機構により、従来の文献よりも優れた復元攻撃に対するプライバシー保証を導出できることを示す。
  論文  参考訳（メタデータ） (2022-02-15T18:09:30Z)
• Knowledge-Enriched Distributional Model Inversion Attacks [49.43828150561947]
  モデルインバージョン(MI)攻撃は、モデルパラメータからトレーニングデータを再構成することを目的としている。 本稿では,パブリックデータからプライベートモデルに対する攻撃を行うのに役立つ知識を抽出する,新しい反転型GANを提案する。 実験の結果,これらの手法を組み合わせることで,最先端MI攻撃の成功率を150%向上させることができることがわかった。
  論文  参考訳（メタデータ） (2020-10-08T16:20:48Z)
• Improving Robustness to Model Inversion Attacks via Mutual Information Regularization [12.079281416410227]
  本稿では,モデル逆転攻撃に対する防御機構について検討する。 MIは、ターゲット機械学習モデルへのアクセスからトレーニングデータ配布に関する情報を推測することを目的とした、プライバシ攻撃の一種である。 我々はMI攻撃に対するMID(Multual Information Regularization based Defense)を提案する。
  論文  参考訳（メタデータ） (2020-09-11T06:02:44Z)
• How Does Data Augmentation Affect Privacy in Machine Learning? [94.52721115660626]
  拡張データの情報を活用するために,新たなMI攻撃を提案する。 モデルが拡張データで訓練された場合、最適な会員推定値を確立する。
  論文  参考訳（メタデータ） (2020-07-21T02:21:10Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。