論文の概要: Defending Against Neural Network Model Inversion Attacks via Data Poisoning

• arxiv url: http://arxiv.org/abs/2412.07575v1
• Date: Tue, 10 Dec 2024 15:08:56 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-12-11 14:35:14.642751
• Title: Defending Against Neural Network Model Inversion Attacks via Data Poisoning
• Title（参考訳）: データポジショニングによるニューラルネットワークモデルインバージョンアタックに対する防御
• Authors: Shuai Zhou, Dayong Ye, Tianqing Zhu, Wanlei Zhou,
• Abstract要約: モデル反転攻撃は、機械学習モデルに重大なプライバシー上の脅威をもたらす。 本稿では,プライバシとユーティリティのバランスを改善するための新しい防御機構を提案する。 本稿では,データ中毒を利用したインバージョンモデルのトレーニングデータを汚染する手法を提案する。
• 参考スコア（独自算出の注目度）: 15.099559883494475
• License:
• Abstract: Model inversion attacks pose a significant privacy threat to machine learning models by reconstructing sensitive data from their outputs. While various defenses have been proposed to counteract these attacks, they often come at the cost of the classifier's utility, thus creating a challenging trade-off between privacy protection and model utility. Moreover, most existing defenses require retraining the classifier for enhanced robustness, which is impractical for large-scale, well-established models. This paper introduces a novel defense mechanism to better balance privacy and utility, particularly against adversaries who employ a machine learning model (i.e., inversion model) to reconstruct private data. Drawing inspiration from data poisoning attacks, which can compromise the performance of machine learning models, we propose a strategy that leverages data poisoning to contaminate the training data of inversion models, thereby preventing model inversion attacks. Two defense methods are presented. The first, termed label-preserving poisoning attacks for all output vectors (LPA), involves subtle perturbations to all output vectors while preserving their labels. Our findings demonstrate that these minor perturbations, introduced through a data poisoning approach, significantly increase the difficulty of data reconstruction without compromising the utility of the classifier. Subsequently, we introduce a second method, label-flipping poisoning for partial output vectors (LFP), which selectively perturbs a small subset of output vectors and alters their labels during the process. Empirical results indicate that LPA is notably effective, outperforming the current state-of-the-art defenses. Our data poisoning-based defense provides a new retraining-free defense paradigm that preserves the victim classifier's utility.
• Abstract（参考訳）: モデル反転攻撃は、出力から機密データを再構築することで、機械学習モデルに重大なプライバシー上の脅威をもたらす。 これらの攻撃に対抗するために様々な防御策が提案されているが、しばしば分類器のユーティリティーのコストがかかるため、プライバシ保護とモデルユーティリティーの間に難しいトレードオフが生じる。 さらに、既存のディフェンスのほとんどは、大規模で確立されたモデルでは実行不可能な、堅牢性を高めるために分類器を再訓練する必要がある。 本稿では,プライバシとユーティリティのバランスを改善するための新しい防御機構について紹介する。 機械学習モデルの性能を損なう可能性のあるデータ中毒攻撃からインスピレーションを得た上で,データ中毒を利用してインバージョンモデルのトレーニングデータを汚染し,モデル逆攻撃を防止する戦略を提案する。 2つの防御方法が提示される。 全ての出力ベクトル(LPA)に対する最初のラベル保存毒攻撃は、ラベルを保存しながら全ての出力ベクトルに微妙な摂動を伴う。 以上の結果から,これらの小さな摂動は,分類器の有用性を損なうことなく,データ再構成の難しさを著しく高めることが明らかとなった。 次に, 部分出力ベクトル (LFP) に対するラベルフリップ中毒 (ラベルフリップ中毒) 法を提案し, 出力ベクトルの小さな部分集合を選択的に摂動させ, その過程でラベルを変更する。 実験結果から,LPAは最先端の防御よりも有効であることが示唆された。 我々のデータ中毒ベースの防衛は、被害者の分類器の実用性を維持する新しい訓練なし防衛パラダイムを提供する。

関連論文リスト

• FreqFed: A Frequency Analysis-Based Approach for Mitigating Poisoning Attacks in Federated Learning [98.43475653490219]
  フェデレート・ラーニング(Federated Learning, FL)は、毒素による攻撃を受けやすい。 FreqFedは、モデルの更新を周波数領域に変換する新しいアグリゲーションメカニズムである。 FreqFedは, 凝集モデルの有用性に悪影響を及ぼすことなく, 毒性攻撃を効果的に軽減できることを実証した。
  論文  参考訳（メタデータ） (2023-12-07T16:56:24Z)
• Defense Against Model Extraction Attacks on Recommender Systems [53.127820987326295]
  本稿では、モデル抽出攻撃に対するリコメンデータシステムに対する防御のために、グラディエントベースのランキング最適化(GRO)を導入する。 GROは、攻撃者の代理モデルの損失を最大化しながら、保護対象モデルの損失を最小限にすることを目的としている。 その結果,モデル抽出攻撃に対するGROの防御効果は良好であった。
  論文  参考訳（メタデータ） (2023-10-25T03:30:42Z)
• Isolation and Induction: Training Robust Deep Neural Networks against Model Stealing Attacks [51.51023951695014]
  既存のモデル盗難防衛は、被害者の後部確率に偽りの摂動を加え、攻撃者を誤解させる。 本稿では,モデルステルス防衛のための新規かつ効果的なトレーニングフレームワークである分離誘導(InI)を提案する。 モデルの精度を損なうモデル予測に摂動を加えるのとは対照的に、我々はモデルを訓練して、盗むクエリに対して非形式的なアウトプットを生成する。
  論文  参考訳（メタデータ） (2023-08-02T05:54:01Z)
• Boosting Model Inversion Attacks with Adversarial Examples [26.904051413441316]
  ブラックボックス設定において、より高い攻撃精度を達成できる学習ベースモデル反転攻撃のための新しい訓練パラダイムを提案する。 まず,攻撃モデルの学習過程を,意味的損失関数を追加して規則化する。 第2に、学習データに逆例を注入し、クラス関連部の多様性を高める。
  論文  参考訳（メタデータ） (2023-06-24T13:40:58Z)
• Avoid Adversarial Adaption in Federated Learning by Multi-Metric Investigations [55.2480439325792]
  Federated Learning(FL)は、分散機械学習モデルのトレーニング、データのプライバシの保護、通信コストの低減、多様化したデータソースによるモデルパフォーマンスの向上を支援する。 FLは、中毒攻撃、標的外のパフォーマンス劣化とターゲットのバックドア攻撃の両方でモデルの整合性を損なうような脆弱性に直面している。 我々は、複数の目的に同時に適応できる、強い適応的敵の概念を新たに定義する。 MESASは、実際のデータシナリオで有効であり、平均オーバーヘッドは24.37秒である。
  論文  参考訳（メタデータ） (2023-06-06T11:44:42Z)
• DODEM: DOuble DEfense Mechanism Against Adversarial Attacks Towards Secure Industrial Internet of Things Analytics [8.697883716452385]
  I-IoT環境における敵攻撃の検出と軽減のための二重防御機構を提案する。 まず、新規性検出アルゴリズムを用いて、サンプルに対して逆攻撃があるかどうかを検知する。 攻撃があった場合、敵の再訓練はより堅牢なモデルを提供する一方、通常のサンプルに対して標準的な訓練を適用する。
  論文  参考訳（メタデータ） (2023-01-23T22:10:40Z)
• Defending against the Label-flipping Attack in Federated Learning [5.769445676575767]
  フェデレーテッド・ラーニング(FL)は、参加する仲間にデザインによる自律性とプライバシを提供する。 ラベルフリッピング(LF)攻撃(英: label-flipping, LF)は、攻撃者がラベルをめくってトレーニングデータに毒を盛る攻撃である。 本稿では、まず、ピアのローカル更新からこれらの勾配を動的に抽出する新しいディフェンスを提案する。
  論文  参考訳（メタデータ） (2022-07-05T12:02:54Z)
• Gradient-based Data Subversion Attack Against Binary Classifiers [9.414651358362391]
  本研究では,攻撃者がラベルのラベルに毒を盛り,システムの機能を損なうようなラベル汚染攻撃に焦点を当てる。 我々は、予測ラベルに対する微分可能凸損失関数の勾配をウォームスタートとして利用し、汚染するデータインスタンスの集合を見つけるための異なる戦略を定式化する。 本実験は,提案手法がベースラインより優れ,計算効率が高いことを示す。
  論文  参考訳（メタデータ） (2021-05-31T09:04:32Z)
• Adversarial Poisoning Attacks and Defense for General Multi-Class Models Based On Synthetic Reduced Nearest Neighbors [14.968442560499753]
  最先端の機械学習モデルは、データ中毒攻撃に弱い。 本論文では,データのマルチモダリティに基づく新しいモデルフリーラベルフリップ攻撃を提案する。 第二に、SRNN(Synthetic reduced Nearest Neighbor)モデルに基づく新しい防御技術を提案する。
  論文  参考訳（メタデータ） (2021-02-11T06:55:40Z)
• How Robust are Randomized Smoothing based Defenses to Data Poisoning? [66.80663779176979]
  我々は、トレーニングデータの品質の重要性を強調する堅牢な機械学習モデルに対して、これまで認識されていなかった脅威を提示します。 本稿では,二段階最適化に基づく新たなデータ中毒攻撃法を提案し,ロバストな分類器のロバスト性を保証する。 我々の攻撃は、被害者が最先端のロバストな訓練方法を用いて、ゼロからモデルを訓練しても効果的である。
  論文  参考訳（メタデータ） (2020-12-02T15:30:21Z)
• Sampling Attacks: Amplification of Membership Inference Attacks by Repeated Queries [74.59376038272661]
  本手法は,他の標準メンバーシップ相手と異なり,被害者モデルのスコアにアクセスできないような厳格な制限の下で動作可能な,新しいメンバーシップ推論手法であるサンプリングアタックを導入する。 ラベルのみを公開している被害者モデルでは,攻撃のサンプリングが引き続き可能であり,攻撃者はその性能の最大100%を回復できることを示す。 防衛においては,被害者モデルのトレーニング中の勾配摂動と予測時の出力摂動の形式で差分プライバシーを選択する。
  論文  参考訳（メタデータ） (2020-09-01T12:54:54Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。