論文の概要: Training Set Reconstruction from Differentially Private Forests: How Effective is DP?
- arxiv url: http://arxiv.org/abs/2502.05307v1
- Date: Fri, 07 Feb 2025 20:22:19 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-02-11 14:32:37.424142
- Title: Training Set Reconstruction from Differentially Private Forests: How Effective is DP?
- Title(参考訳): 異なる私有林からのトレーニングセット再構築:DPはどの程度有効か?
- Authors: Alice Gorgé, Julien Ferry, Sébastien Gambs, Thibaut Vidal,
- Abstract要約: 差別プライバシー(DP)は厳格なプライバシー保護を提供するため、広く採用されている対策となっている。
我々は、最先端の$varepsilon$-DPランダム森林を対象とした再建攻撃を導入する。
以上の結果から,有意義なDP保証で訓練された無作為林が,トレーニングデータのかなりの部分を漏洩させる可能性が示唆された。
- 参考スコア(独自算出の注目度): 7.618051223061514
- License:
- Abstract: Recent research has shown that machine learning models are vulnerable to privacy attacks targeting their training data. Differential privacy (DP) has become a widely adopted countermeasure, as it offers rigorous privacy protections. In this paper, we introduce a reconstruction attack targeting state-of-the-art $\varepsilon$-DP random forests. By leveraging a constraint programming model that incorporates knowledge of the forest's structure and DP mechanism characteristics, our approach formally reconstructs the most likely dataset that could have produced a given forest. Through extensive computational experiments, we examine the interplay between model utility, privacy guarantees, and reconstruction accuracy across various configurations. Our results reveal that random forests trained with meaningful DP guarantees can still leak substantial portions of their training data. Specifically, while DP reduces the success of reconstruction attacks, the only forests fully robust to our attack exhibit predictive performance no better than a constant classifier. Building on these insights, we provide practical recommendations for the construction of DP random forests that are more resilient to reconstruction attacks and maintain non-trivial predictive performance.
- Abstract(参考訳): 最近の研究では、機械学習モデルはトレーニングデータをターゲットにしたプライバシー攻撃に弱いことが示されている。
差別プライバシー(DP)は厳格なプライバシー保護を提供するため、広く採用されている対策となっている。
本稿では,最先端の$\varepsilon$-DPランダム林を対象にした再建攻撃を提案する。
森林構造とDP機構特性の知識を取り入れた制約プログラミングモデルを活用することにより,本手法は,森林を創出できる最も可能性の高いデータセットを正式に再構築する。
広範にわたる計算実験を通じて、モデルユーティリティとプライバシ保証、および各種構成間の再構成精度の相互作用について検討する。
以上の結果から,有意義なDP保証で訓練された無作為林が,トレーニングデータのかなりの部分を漏洩させる可能性が示唆された。
具体的には、DPは再建攻撃の成功を減少させるが、攻撃に対して完全に堅牢な森林は、一定の分類器以上の予測性能を示す。
これらの知見に基づいて,復元攻撃に対する耐性を高め,非自明な予測性能を維持するDPランダム林の構築を実践的に推奨する。
関連論文リスト
- DynFrs: An Efficient Framework for Machine Unlearning in Random Forest [2.315324942451179]
DynFrsはランダムフォレストにおける効率的な機械学習を可能にするために設計されたフレームワークである。
実験では、DynfrsをExtremely Treesに適用すると、大幅に改善される。
論文 参考訳(メタデータ) (2024-10-02T14:20:30Z) - Bayes' capacity as a measure for reconstruction attacks in federated learning [10.466570297146953]
定量的情報フローの情報理論フレームワークを用いて,再構成脅威モデルを定式化する。
我々は,シブソンの次数無限性の相互情報に関連するベイズの能力が,DP-SGDアルゴリズムの逆数へのリークの密接な上限を表していることを示す。
論文 参考訳(メタデータ) (2024-06-19T13:58:42Z) - Visual Privacy Auditing with Diffusion Models [52.866433097406656]
本稿では,拡散モデル(DM)に基づくリコンストラクション攻撃を提案する。
本研究では,(1)実世界のデータ漏洩が再建の成功に大きく影響すること,(2)現在のリビルド境界がデータ先行によるリスクをうまくモデル化していないこと,(3)DMは,プライバシー漏洩を可視化するための効果的な監査ツールとして機能すること,を示す。
論文 参考訳(メタデータ) (2024-03-12T12:18:55Z) - Pre-training Differentially Private Models with Limited Public Data [54.943023722114134]
ディファレンシャルプライバシ(DP)は、モデルに提供されるセキュリティの度合いを測定するための重要な手法である。
DPはまだ、最初の事前訓練段階で使用されるデータのかなりの部分を保護することができない。
公共データの10%しか利用しない新しいDP継続事前学習戦略を開発した。
ImageNet-21kのDP精度は41.5%、非DP精度は55.7%、下流タスクのPlaces365とiNaturalist-2021では60.0%である。
論文 参考訳(メタデータ) (2024-02-28T23:26:27Z) - Bounding Reconstruction Attack Success of Adversaries Without Data
Priors [53.41619942066895]
機械学習(ML)モデルに対する再構成攻撃は、機密データの漏洩の強いリスクをもたらす。
本研究では,現実的な対角的環境下での再建成功に関する公式な上限を提供する。
論文 参考訳(メタデータ) (2024-02-20T09:52:30Z) - Reconciling AI Performance and Data Reconstruction Resilience for
Medical Imaging [52.578054703818125]
人工知能(AI)モデルは、トレーニングデータの情報漏洩に対して脆弱であり、非常に敏感である。
差別化プライバシ(DP)は、定量的なプライバシー予算を設定することで、これらの感受性を回避することを目的としている。
非常に大きなプライバシ予算を使用することで、リコンストラクション攻撃は不可能であり、パフォーマンスの低下は無視可能であることを示す。
論文 参考訳(メタデータ) (2023-12-05T12:21:30Z) - Bounding Training Data Reconstruction in DP-SGD [42.36933026300976]
異なるプライベートトレーニングは、通常、メンバーシップ推論攻撃に対する保証として解釈される保護を提供する。
プロキシによって、この保証は、完全なトレーニング例を抽出しようとする再構築攻撃のような他の脅威にまで拡張される。
最近の研究は、もしメンバーシップ攻撃から保護する必要がなく、訓練データ再構成から保護することだけを望むなら、プライベートモデルの実用性を改善することができるという証拠を提供している。
論文 参考訳(メタデータ) (2023-02-14T18:02:34Z) - Defending against Reconstruction Attacks with R\'enyi Differential
Privacy [72.1188520352079]
レコンストラクション攻撃により、敵は訓練されたモデルのみにアクセスすることで、トレーニングセットのデータサンプルを再生することができる。
差別化プライバシはこのような攻撃に対する既知の解決策であるが、比較的大きなプライバシ予算で使用されることが多い。
また、同機構により、従来の文献よりも優れた復元攻撃に対するプライバシー保証を導出できることを示す。
論文 参考訳(メタデータ) (2022-02-15T18:09:30Z) - Reconstructing Training Data with Informed Adversaries [30.138217209991826]
機械学習モデルへのアクセスを考えると、敵はモデルのトレーニングデータを再構築できるだろうか?
本研究は、この疑問を、学習データポイントの全てを知っている強力な情報提供者のレンズから研究する。
この厳密な脅威モデルにおいて、残りのデータポイントを再構築することは可能であることを示す。
論文 参考訳(メタデータ) (2022-01-13T09:19:25Z) - DP-InstaHide: Provably Defusing Poisoning and Backdoor Attacks with
Differentially Private Data Augmentations [54.960853673256]
混合や無作為な付加ノイズなどの強いデータ拡張は、わずかな精度のトレードオフに耐えながら、毒の攻撃を無効にする。
DP-InstaHideの厳密な分析によると、ミキサップは確かにプライバシー上の利点があり、kウェイミキサップによるトレーニングは、単純DPメカニズムよりも少なくともk倍強いDP保証が得られる。
論文 参考訳(メタデータ) (2021-03-02T23:07:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。