論文の概要: Attackers Can Do Better: Over- and Understated Factors of Model Stealing Attacks
- arxiv url: http://arxiv.org/abs/2503.06188v1
- Date: Sat, 08 Mar 2025 12:18:52 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-03-11 15:46:55.674377
- Title: Attackers Can Do Better: Over- and Understated Factors of Model Stealing Attacks
- Title(参考訳): モデルステアリング攻撃の過度な要因と過小評価された要因
- Authors: Daryna Oliynyk, Rudolf Mayer, Andreas Rauber,
- Abstract要約: 代替モデルトレーニングは、あらゆる機械学習モデルに適用可能な全アクセスアタックである。
本研究では,攻撃者の能力や知識が代替訓練攻撃に与える影響について検討した。
我々の結果は、しばしばより強い攻撃を前提とした以前の攻撃のパフォーマンスを上回ったり、一致させたりします。
- 参考スコア(独自算出の注目度): 0.294944680995069
- License:
- Abstract: Machine learning models were shown to be vulnerable to model stealing attacks, which lead to intellectual property infringement. Among other methods, substitute model training is an all-encompassing attack applicable to any machine learning model whose behaviour can be approximated from input-output queries. Whereas prior works mainly focused on improving the performance of substitute models by, e.g. developing a new substitute training method, there have been only limited ablation studies on the impact the attacker's strength has on the substitute model's performance. As a result, different authors came to diverse, sometimes contradicting, conclusions. In this work, we exhaustively examine the ambivalent influence of different factors resulting from varying the attacker's capabilities and knowledge on a substitute training attack. Our findings suggest that some of the factors that have been considered important in the past are, in fact, not that influential; instead, we discover new correlations between attack conditions and success rate. In particular, we demonstrate that better-performing target models enable higher-fidelity attacks and explain the intuition behind this phenomenon. Further, we propose to shift the focus from the complexity of target models toward the complexity of their learning tasks. Therefore, for the substitute model, rather than aiming for a higher architecture complexity, we suggest focusing on getting data of higher complexity and an appropriate architecture. Finally, we demonstrate that even in the most limited data-free scenario, there is no need to overcompensate weak knowledge with millions of queries. Our results often exceed or match the performance of previous attacks that assume a stronger attacker, suggesting that these stronger attacks are likely endangering a model owner's intellectual property to a significantly higher degree than shown until now.
- Abstract(参考訳): 機械学習モデルは、モデル盗難攻撃に対して脆弱であることが示され、知的財産権侵害につながった。
代用モデルトレーニングは、入力出力クエリから振る舞いを近似できる任意の機械学習モデルに適用可能な、全アクセスアタックである。
従来の研究は主に代替モデルの性能向上に重点を置いているが、例えば、新しい代替トレーニング手法の開発では、攻撃者の強度が代替モデルの性能に与える影響について限定的なアブレーション研究しか行われていない。
その結果、様々な著者が多様で時には矛盾する結論に至った。
本研究では,攻撃者の能力や知識が代替訓練攻撃に影響を及ぼす要因のあいまいさを徹底的に検討する。
以上の結果から,これまで重要と考えられてきた要因のいくつかは,実際にはそれほど影響を受けていないことが示唆され,攻撃条件と成功率の新たな相関関係が発見された。
特に、より優れた目標モデルにより、高忠実度攻撃を可能にし、この現象の背景にある直観を説明する。
さらに,対象モデルの複雑さから学習タスクの複雑さへ焦点を移すことを提案する。
したがって、代用モデルでは、より高度なアーキテクチャの複雑さではなく、より複雑なデータと適切なアーキテクチャの取得に重点を置くことを提案する。
最後に、最も限られたデータフリーシナリオであっても、数百万のクエリで弱い知識を過度に補償する必要はないことを実証する。
これらの攻撃は、モデル所有者の知的財産を、これまで示されていたよりもはるかに高い程度に危険に晒している可能性があることを示唆している。
関連論文リスト
- Efficient Data-Free Model Stealing with Label Diversity [22.8804507954023]
マシンラーニング・アズ・ア・サービス(ML)は、ユーザがAPI形式で機械学習モデルに問い合わせることを可能にし、価値あるデータに基づいてトレーニングされた高性能モデルによるメリットを享受する機会を提供する。
このインターフェースは機械学習ベースのアプリケーションの増殖を促進する一方で、モデル盗難攻撃のための攻撃面を導入している。
既存のモデル盗難攻撃は、有効性を保ちながら、攻撃想定をデータフリー設定に緩和した。
本稿では,多様性の観点からモデルを盗む問題を再考し,生成したデータサンプルをすべてのクラスに多様性を持たせることが重要なポイントであることを実証する。
論文 参考訳(メタデータ) (2024-03-29T18:52:33Z) - Defense Against Model Extraction Attacks on Recommender Systems [53.127820987326295]
本稿では、モデル抽出攻撃に対するリコメンデータシステムに対する防御のために、グラディエントベースのランキング最適化(GRO)を導入する。
GROは、攻撃者の代理モデルの損失を最大化しながら、保護対象モデルの損失を最小限にすることを目的としている。
その結果,モデル抽出攻撃に対するGROの防御効果は良好であった。
論文 参考訳(メタデータ) (2023-10-25T03:30:42Z) - Introducing Foundation Models as Surrogate Models: Advancing Towards
More Practical Adversarial Attacks [15.882687207499373]
箱なしの敵攻撃は、AIシステムにとってより実用的で難しいものになりつつある。
本稿では,サロゲートモデルとして基礎モデルを導入することにより,逆攻撃を下流タスクとして再放送する。
論文 参考訳(メタデータ) (2023-07-13T08:10:48Z) - Common Knowledge Learning for Generating Transferable Adversarial
Examples [60.1287733223249]
本稿では,代用(ソース)モデルにより敵のサンプルを生成するブラックボックス攻撃の重要タイプに着目した。
既存の手法では、ソースモデルとターゲットモデルが異なるタイプのDNNアーキテクチャのものである場合、不満足な逆転が生じる傾向にある。
本稿では,より優れたネットワーク重みを学習し,敵対的な例を生成するための共通知識学習(CKL)フレームワークを提案する。
論文 参考訳(メタデータ) (2023-07-01T09:07:12Z) - The Space of Adversarial Strategies [6.295859509997257]
機械学習モデルにおける最悪のケース動作を誘発するインプットである逆例は、過去10年間に広く研究されてきた。
最悪の場合(すなわち最適な)敵を特徴づける体系的なアプローチを提案する。
論文 参考訳(メタデータ) (2022-09-09T20:53:11Z) - Membership-Doctor: Comprehensive Assessment of Membership Inference
Against Machine Learning Models [11.842337448801066]
本稿では,様々なメンバーシップ推論攻撃と防衛の大規模測定を行う。
脅威モデル(例えば、同一構造や、シャドーモデルとターゲットモデルとの同一分布)のいくつかの仮定は不要である。
また、実験室のデータセットではなく、インターネットから収集された実世界のデータに対する攻撃を最初に実施しました。
論文 参考訳(メタデータ) (2022-08-22T17:00:53Z) - Improving robustness of jet tagging algorithms with adversarial training [56.79800815519762]
本研究では,フレーバータグ付けアルゴリズムの脆弱性について,敵攻撃による検証を行った。
シミュレーション攻撃の影響を緩和する対人訓練戦略を提案する。
論文 参考訳(メタデータ) (2022-03-25T19:57:19Z) - Delving into Data: Effectively Substitute Training for Black-box Attack [84.85798059317963]
本稿では,知識盗むプロセスで使用されるデータの分散設計に焦点をあてた,新しい視点代替トレーニングを提案する。
これら2つのモジュールの組み合わせにより、代替モデルとターゲットモデルの一貫性がさらに向上し、敵攻撃の有効性が大幅に向上する。
論文 参考訳(メタデータ) (2021-04-26T07:26:29Z) - ML-Doctor: Holistic Risk Assessment of Inference Attacks Against Machine
Learning Models [64.03398193325572]
機械学習(ML)モデルに対する推論攻撃により、敵はトレーニングデータやモデルパラメータなどを学ぶことができる。
私たちは、メンバシップ推論、モデル反転、属性推論、モデル盗難の4つの攻撃に集中しています。
私たちの分析では、MLモデルオーナがモデルをデプロイするリスクを評価することができる、モジュール化された再使用可能なソフトウェアであるML-Doctorに依存しています。
論文 参考訳(メタデータ) (2021-02-04T11:35:13Z) - Learning to Attack: Towards Textual Adversarial Attacking in Real-world
Situations [81.82518920087175]
敵攻撃は、敵の例でディープニューラルネットワークを騙すことを目的としている。
本稿では、攻撃履歴から学習し、より効率的に攻撃を開始することができる強化学習に基づく攻撃モデルを提案する。
論文 参考訳(メタデータ) (2020-09-19T09:12:24Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。