論文の概要: Guarding the Privacy of Label-Only Access to Neural Network Classifiers via iDP Verification

• arxiv url: http://arxiv.org/abs/2502.16519v1
• Date: Sun, 23 Feb 2025 09:50:26 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-02-25 15:52:03.711703
• Title: Guarding the Privacy of Label-Only Access to Neural Network Classifiers via iDP Verification
• Title（参考訳）: iDP検証によるニューラルネットワーク分類器へのラベルのみアクセスのプライバシ保護
• Authors: Anan Kabaha, Dana Drachsler-Cohen,
• Abstract要約: ニューラルネットワークは、トレーニングセットのプライベート情報を抽出できるプライバシー攻撃の影響を受けやすい。 いくつかのトレーニングアルゴリズムは、計算にノイズを加えることで、差分プライバシー(DP)を保証する。 我々は,ラベルのみのアクセスを最小限の精度で保護できる,最強のiDP-DBを計算するためのLUCIDを提案する。
• 参考スコア（独自算出の注目度）: 1.5991239382707645
• License:
• Abstract: Neural networks are susceptible to privacy attacks that can extract private information of the training set. To cope, several training algorithms guarantee differential privacy (DP) by adding noise to their computation. However, DP requires to add noise considering every possible training set. This leads to a significant decrease in the network's accuracy. Individual DP (iDP) restricts DP to a given training set. We observe that some inputs deterministically satisfy iDP without any noise. By identifying them, we can provide iDP label-only access to the network with a minor decrease to its accuracy. However, identifying the inputs that satisfy iDP without any noise is highly challenging. Our key idea is to compute the iDP deterministic bound (iDP-DB), which overapproximates the set of inputs that do not satisfy iDP, and add noise only to their predicted labels. To compute the tightest iDP-DB, which enables to guard the label-only access with minimal accuracy decrease, we propose LUCID, which leverages several formal verification techniques. First, it encodes the problem as a mixed-integer linear program, defined over a network and over every network trained identically but without a unique data point. Second, it abstracts a set of networks using a hyper-network. Third, it eliminates the overapproximation error via a novel branch-and-bound technique. Fourth, it bounds the differences of matching neurons in the network and the hyper-network and employs linear relaxation if they are small. We show that LUCID can provide classifiers with a perfect individuals' privacy guarantee (0-iDP) -- which is infeasible for DP training algorithms -- with an accuracy decrease of 1.4%. For more relaxed $\varepsilon$-iDP guarantees, LUCID has an accuracy decrease of 1.2%. In contrast, existing DP training algorithms reduce the accuracy by 12.7%.
• Abstract（参考訳）: ニューラルネットワークは、トレーニングセットのプライベート情報を抽出できるプライバシー攻撃の影響を受けやすい。 これに対処するため、いくつかのトレーニングアルゴリズムは、計算にノイズを加えることで、差分プライバシー(DP)を保証する。 しかしDPは、可能なトレーニングセットをすべて考慮し、ノイズを追加する必要がある。 これにより、ネットワークの精度が大幅に低下する。 個人DP(iDP)は、与えられたトレーニングセットにDPを制限する。 雑音を伴わずにiDPを確定的に満足する入力がいくつか存在することを観察する。 識別することで,ネットワークへのIDPラベルのみのアクセスを,その精度をわずかに低下させることが可能となる。 しかし、ノイズを伴わずにiDPを満たす入力を特定することは極めて困難である。 我々のキーとなる考え方は、iDP決定性境界(iDP-DB)を計算し、iDPを満たさない入力の集合をオーバー近似し、予測されたラベルにのみノイズを加えることである。 ラベルのみのアクセスを最小限の精度で保護できる最強のiDP-DBを計算するために,いくつかの形式的検証手法を活用したLUCIDを提案する。 まず、ネットワーク上に定義された混合整数線形プログラムと、同一に訓練されるが、ユニークなデータポイントを持たないすべてのネットワークを対象とする問題をエンコードする。 第二に、ハイパーネットワークを用いてネットワークの集合を抽象化する。 第3に、新しいブランチ・アンド・バウンド技術により過近似誤差を除去する。 第4に、ネットワークとハイパーネットワークにおけるマッチングニューロンの差を限定し、もし小さいなら線形緩和を用いる。 LUCIDは、DPトレーニングアルゴリズムでは不可能な、完全な個人のプライバシー保証(0-iDP)を備えた分類器を1.4%の精度で提供できることを示す。 より緩和された$\varepsilon$-iDP保証の場合、LUCIDの精度は1.2%低下する。 対照的に、既存のDPトレーニングアルゴリズムは精度を12.7%削減している。

関連論文リスト

• Lightweight Protocols for Distributed Private Quantile Estimation [12.586899971090277]
  我々は、各ユーザが1つのデータポイントを1つのドメインに[B]$で保持するときに、1つの量子を推定する2つの強調適応アルゴリズムを考察する。 適応的な設定では、$varepsilon$-LDPアルゴリズムを用い、$O(fraclog Bvarepsilon2alpha2)$ユーザしか必要としないエラー$alpha$内の量子化を推定できる。
  論文  参考訳（メタデータ） (2025-02-05T08:39:02Z)
• Closed-Form Bounds for DP-SGD against Record-level Inference [18.85865832127335]
  我々はDP-SGDアルゴリズムに焦点をあて、単純な閉形式境界を導出する。 我々は、最先端技術にマッチする会員推定のバウンダリを得る。 属性推論に対する新しいデータ依存型バウンダリを提案する。
  論文  参考訳（メタデータ） (2024-02-22T09:26:16Z)
• DP-DCAN: Differentially Private Deep Contrastive Autoencoder Network for Single-cell Clustering [29.96339380816541]
  ディープラーニングモデルは、ユーザの機密情報を漏洩する可能性がある。 差別化プライバシ(DP)は、プライバシーを保護するためにますます使われています。 本稿では,ネットワークの中央にある次元再現ベクトルのみを出力するオートエンコーダの特異性を利用する。 単一セルクラスタリングのための部分的ネットワーク摂動により、差分的にプライベートなDeep Contrastive Autoencoder Network (DP-DCAN) を設計する。
  論文  参考訳（メタデータ） (2023-11-06T05:13:29Z)
• Verification of Neural Networks Local Differential Classification Privacy [1.3024517678456733]
  ローカル差分分類プライバシー(LDCP)と呼ばれる新しいプライバシー特性を提案する。 LDCPはローカルロバスト性をブラックボックス分類器に適した差分プライバシー設定に拡張する。 Sphynxは、ネットワークの小さな集合から高い確率で全てのネットワークを抽象化するアルゴリズムである。
  論文  参考訳（メタデータ） (2023-10-31T09:11:12Z)
• TAN Without a Burn: Scaling Laws of DP-SGD [70.7364032297978]
  近年、ディープニューラルネットワーク(DNN)を訓練するための微分プライベートな手法が進歩している。 プライバシ分析とノイズのあるトレーニングの実験的振る舞いを分離し、最小限の計算要件でトレードオフを探索する。 我々は,提案手法をCIFAR-10とImageNetに適用し,特にImageNetの最先端性を,上位1点の精度で向上させる。
  論文  参考訳（メタデータ） (2022-10-07T08:44:35Z)
• Normalized/Clipped SGD with Perturbation for Differentially Private Non-Convex Optimization [94.06564567766475]
  DP-SGDとDP-NSGDは、センシティブなトレーニングデータを記憶する大規模モデルのリスクを軽減する。 DP-NSGD は DP-SGD よりも比較的チューニングが比較的容易であるのに対して,これらの2つのアルゴリズムは同様の精度を実現する。
  論文  参考訳（メタデータ） (2022-06-27T03:45:02Z)
• NeuralDP Differentially private neural networks by design [61.675604648670095]
  ニューラルネットワーク内のいくつかの層の活性化を民営化する手法であるNeuralDPを提案する。 本研究では,DP-SGDと比較して,プライバシーとユーティリティのトレードオフを大幅に改善した2つのデータセットを実験的に検証した。
  論文  参考訳（メタデータ） (2021-07-30T12:40:19Z)
• Lossless Compression of Efficient Private Local Randomizers [55.657133416044104]
  Locally Differentially Private (LDP) Reportsは、フェデレーション設定における統計と機械学習の収集に一般的に使用されます。 多くの場合、最もよく知られたldpアルゴリズムは、クライアントデバイスからサーバに強制的に大きなメッセージを送信する必要がある。 これにより、LDPアルゴリズムの通信コストの削減に大きく貢献しています。
  論文  参考訳（メタデータ） (2021-02-24T07:04:30Z)
• Enabling certification of verification-agnostic networks via memory-efficient semidefinite programming [97.40955121478716]
  本稿では,ネットワークアクティベーションの総数にのみ線形なメモリを必要とする一階二重SDPアルゴリズムを提案する。 L-inf の精度は 1% から 88% ,6% から 40% に改善した。 また,変分オートエンコーダの復号器に対する2次安定性仕様の厳密な検証を行った。
  論文  参考訳（メタデータ） (2020-10-22T12:32:29Z)
• CryptoSPN: Privacy-preserving Sum-Product Network Inference [84.88362774693914]
  総生産ネットワーク(SPN)のプライバシ保護のためのフレームワークを提案する。 CryptoSPNは、中規模のSPNに対して秒の順序で高効率で正確な推論を行う。
  論文  参考訳（メタデータ） (2020-02-03T14:49:18Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。