論文の概要: Sub-optimal Learning in Meta-Classifier Attacks: A Study of Membership Inference on Differentially Private Location Aggregates
- arxiv url: http://arxiv.org/abs/2412.20456v1
- Date: Sun, 29 Dec 2024 12:51:34 GMT
- ステータス: 翻訳完了
- システム内更新日: 2024-12-31 16:03:41.799038
- Title: Sub-optimal Learning in Meta-Classifier Attacks: A Study of Membership Inference on Differentially Private Location Aggregates
- Title(参考訳): メタクラシファイア攻撃における準最適学習:異なる個人的位置アグリゲートに対するメンバーシップ推論の検討
- Authors: Yuhan Liu, Florent Guepin, Igor Shilov, Yves-Alexandre De Montjoye,
- Abstract要約: 情報攻撃者であっても,DPが期待する攻撃精度と経験的攻撃精度との間には,有意なギャップがあることが示唆された。
提案手法は,1閾値攻撃と2閾値攻撃の2つである。
- 参考スコア(独自算出の注目度): 19.09251452596829
- License:
- Abstract: The widespread collection and sharing of location data, even in aggregated form, raises major privacy concerns. Previous studies used meta-classifier-based membership inference attacks~(MIAs) with multi-layer perceptrons~(MLPs) to estimate privacy risks in location data, including when protected by differential privacy (DP). In this work, however, we show that a significant gap exists between the expected attack accuracy given by DP and the empirical attack accuracy even with informed attackers (also known as DP attackers), indicating a potential underestimation of the privacy risk. To explore the potential causes for the observed gap, we first propose two new metric-based MIAs: the one-threshold attack and the two-threshold attack. We evaluate their performances on real-world location data and find that different data distributions require different attack strategies for optimal performance: the one-threshold attack is more effective with Gaussian DP noise, while the two-threshold attack performs better with Laplace DP noise. Comparing their performance with one of the MLP-based attack models in previous works shows that the MLP only learns the one-threshold rule, leading to a suboptimal performance under the Laplace DP noise and an underestimation of the privacy risk. Second, we theoretically prove that MLPs can encode complex rules~(\eg, the two-threshold attack rule), which can be learned when given a substantial amount of training data. We conclude by discussing the implications of our findings in practice, including broader applications extending beyond location aggregates to any differentially private datasets containing multiple observations per individual and how techniques such as synthetic data generation and pre-training might enable MLP to learn more complex optimal rules.
- Abstract(参考訳): 位置情報の広範囲な収集と共有は、集約された形式であっても、大きなプライバシー上の懸念を提起する。
従来の研究では、メタ分類器ベースのメンバシップ推論攻撃~(MIA)と多層パーセプトロン~(MLP)を用いて、差分プライバシ(DP)によって保護された場合を含む位置情報のプライバシリスクを推定していた。
しかし,本研究は,情報攻撃者(DP攻撃者)においても,DPが提示する攻撃精度と経験的攻撃精度との間に有意な差があることを示し,プライバシーリスクの過小評価の可能性を示唆している。
観測されたギャップの潜在的な原因を探るため,まず1閾値攻撃と2閾値攻撃の2つの新しい計量ベースのMIAを提案する。
実世界の位置情報データを用いてそれらの性能を評価し、異なるデータ分布が最適な性能のために異なる攻撃戦略を必要とすることを見出した。
以前の研究でMLPベースの攻撃モデルと比較すると、MLPは1閾値ルールのみを学習し、Laplace DPノイズの下での最適以下のパフォーマンスとプライバシーリスクの過小評価につながることが示されている。
第2に、MDPが複雑なルールを符号化できることを理論的に証明する(つまり、2閾値の攻撃ルール)。
位置情報の集約を超えて、個人毎に複数の観測結果を含む任意の個人データセットに拡張する広範なアプリケーションや、合成データ生成や事前学習といった技術によって、MDPがより複雑な最適ルールを学べるようになる可能性など、我々の発見が実際に含んでいることを議論することで結論付けた。
関連論文リスト
- Pseudo-Probability Unlearning: Towards Efficient and Privacy-Preserving Machine Unlearning [59.29849532966454]
本稿では,PseudoProbability Unlearning (PPU)を提案する。
提案手法は,最先端の手法に比べて20%以上の誤りを忘れる改善を実現している。
論文 参考訳(メタデータ) (2024-11-04T21:27:06Z) - A Zero Auxiliary Knowledge Membership Inference Attack on Aggregate Location Data [8.795538320219082]
位置データを集約するZero Auxiliary Knowledge (ZK) MIAを開発した。
これにより、実際の個々のトレースの補助データセットが不要になる。
ZK MIAは、敵が目標の位置情報のごく一部しか知らない場合でも有効であることを示す。
論文 参考訳(メタデータ) (2024-06-26T18:14:36Z) - Noise Variance Optimization in Differential Privacy: A Game-Theoretic Approach Through Per-Instance Differential Privacy [7.264378254137811]
差分プライバシー(DP)は、個人をターゲットデータセットに含めることによる分布の変化を観察することにより、プライバシー損失を測定することができる。
DPは、AppleやGoogleのような業界巨人の機械学習におけるデータセットの保護において際立っている。
本稿では,PDPを制約として提案し,各データインスタンスのプライバシ損失を測定し,個々のインスタンスに適したノイズを最適化する。
論文 参考訳(メタデータ) (2024-04-24T06:51:16Z) - Practical Membership Inference Attacks against Fine-tuned Large Language Models via Self-prompt Calibration [32.15773300068426]
メンバーシップ推論攻撃は、対象のデータレコードがモデルトレーニングに使用されたかどうかを推測することを目的としている。
自己校正確率変動(SPV-MIA)に基づくメンバーシップ推論攻撃を提案する。
論文 参考訳(メタデータ) (2023-11-10T13:55:05Z) - MAPS: A Noise-Robust Progressive Learning Approach for Source-Free
Domain Adaptive Keypoint Detection [76.97324120775475]
クロスドメインキーポイント検出方法は、常に適応中にソースデータにアクセスする必要がある。
本稿では、ターゲット領域に十分に訓練されたソースモデルのみを提供する、ソースフリーなドメイン適応キーポイント検出について考察する。
論文 参考訳(メタデータ) (2023-02-09T12:06:08Z) - Enabling Trade-offs in Privacy and Utility in Genomic Data Beacons and
Summary Statistics [26.99521354120141]
要約データやBeaconの応答とプライバシを明示的にトレードオフするための最適化ベースのアプローチを導入します。
第一に、攻撃者はメンバーシップ推論のクレームを行うために確率比テストを適用する。
第2に、攻撃者は、個人間のスコアの分離に対するデータリリースの影響を考慮に入れたしきい値を使用する。
論文 参考訳(メタデータ) (2023-01-11T19:16:13Z) - Debiasing Learning for Membership Inference Attacks Against Recommender
Systems [79.48353547307887]
学習されたレコメンデータシステムは、トレーニングデータに関する情報を不注意に漏洩させ、プライバシー侵害につながる可能性がある。
我々は,推薦者システムによるプライバシー上の脅威を,会員推定のレンズを通して調査する。
本稿では,4つの主要コンポーネントを持つリコメンダシステム(DL-MIA)フレームワークに対する,メンバシップ推論攻撃に対するバイアス学習を提案する。
論文 参考訳(メタデータ) (2022-06-24T17:57:34Z) - Optimal Membership Inference Bounds for Adaptive Composition of Sampled
Gaussian Mechanisms [93.44378960676897]
トレーニングされたモデルとデータサンプルが与えられた場合、メンバシップ推論(MI)アタックは、サンプルがモデルのトレーニングセットにあるかどうかを予測する。
MI攻撃に対する一般的な対策は、モデルトレーニング中に差分プライバシー(DP)を利用して個々の事例の存在を隠蔽することである。
本稿では,MI攻撃を装着した相手のテキスト・アドバンテージのバウンダリを導出し,広く利用されているガウス機構の厳密性を示す。
論文 参考訳(メタデータ) (2022-04-12T22:36:56Z) - Differentially Private Estimation of Heterogeneous Causal Effects [9.355532300027727]
本稿では,条件付き平均治療効果(CATE)を差分プライバシー保証で推定するための一般的なメタアルゴリズムを提案する。
我々のメタアルゴリズムは、SラーナーやDRやRラーナーのようなより複雑な多段推定器のような単純な単段CATE推定器で動作する。
論文 参考訳(メタデータ) (2022-02-22T17:21:18Z) - Learning, compression, and leakage: Minimising classification error via
meta-universal compression principles [87.054014983402]
学習シナリオのための圧縮技法の有望なグループは、正規化極大(NML)符号化である。
ここでは,教師付き分類問題に対するNMLに基づく意思決定戦略を検討し,多種多様なモデルに適用した場合にPAC学習を実現することを示す。
本手法の誤分類率は,プライバシに敏感なシナリオにおいて,データ漏洩の可能性を定量化するための指標である最大リークによって上限づけられていることを示す。
論文 参考訳(メタデータ) (2020-10-14T20:03:58Z) - Differentially Private Federated Learning with Laplacian Smoothing [72.85272874099644]
フェデレートラーニングは、ユーザ間でプライベートデータを共有せずに、協調的にモデルを学習することで、データのプライバシを保護することを目的としている。
敵は、リリースしたモデルを攻撃することによって、プライベートトレーニングデータを推測することができる。
差別化プライバシは、トレーニングされたモデルの正確性や実用性を著しく低下させる価格で、このような攻撃に対する統計的保護を提供する。
論文 参考訳(メタデータ) (2020-05-01T04:28:38Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。