論文の概要: Vulnerability of Transfer-Learned Neural Networks to Data Reconstruction Attacks in Small-Data Regime
- arxiv url: http://arxiv.org/abs/2505.14323v1
- Date: Tue, 20 May 2025 13:09:22 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-05-21 14:49:53.246321
- Title: Vulnerability of Transfer-Learned Neural Networks to Data Reconstruction Attacks in Small-Data Regime
- Title(参考訳): 小データレジームにおけるデータ再構成攻撃に対するトランスファー学習ニューラルネットワークの脆弱性
- Authors: Tomasz Maciążek, Robert Allison,
- Abstract要約: トレーニングデータ再構築攻撃は、敵がリリースしたモデルのトレーニングデータの一部を復元することを可能にする。
再構成ニューラルネットワークがトレーニングデータとモデル重みの間の(ランダムな)マッピングを反転させるのを学習する攻撃について考察する。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Training data reconstruction attacks enable adversaries to recover portions of a released model's training data. We consider the attacks where a reconstructor neural network learns to invert the (random) mapping between training data and model weights. Prior work has shown that an informed adversary with access to released model's weights and all but one training data point can achieve high-quality reconstructions in this way. However, differential privacy can defend against such an attack with little to no loss in model's utility when the amount of training data is sufficiently large. In this work we consider a more realistic adversary who only knows the distribution from which a small training dataset has been sampled and who attacks a transfer-learned neural network classifier that has been trained on this dataset. We exhibit an attack that works in this realistic threat model and demonstrate that in the small-data regime it cannot be defended against by DP-SGD without severely damaging the classifier accuracy. This raises significant concerns about the use of such transfer-learned classifiers when protection of training-data is paramount. We demonstrate the effectiveness and robustness of our attack on VGG, EfficientNet and ResNet image classifiers transfer-learned on MNIST, CIFAR-10 and CelebA respectively. Additionally, we point out that the commonly used (true-positive) reconstruction success rate metric fails to reliably quantify the actual reconstruction effectiveness. Instead, we make use of the Neyman-Pearson lemma to construct the receiver operating characteristic curve and consider the associated true-positive reconstruction rate at a fixed level of the false-positive reconstruction rate.
- Abstract(参考訳): トレーニングデータ再構築攻撃は、敵がリリースしたモデルのトレーニングデータの一部を復元することを可能にする。
再構成ニューラルネットワークがトレーニングデータとモデル重みの間の(ランダムな)マッピングを反転させるのを学習する攻撃について考察する。
以前の研究では、解放されたモデルの重みと訓練データ以外はすべて、高品質な再構築を実現することができるという情報を得た敵がいた。
しかしながら、差分プライバシーは、トレーニングデータの量が十分に大きい場合、モデルの有用性を損なうことなく、そのような攻撃に対して防御することができる。
この研究では、小さなトレーニングデータセットがサンプリングされた分布のみを知っていて、このデータセットでトレーニングされた転送学習ニューラルネットワーク分類器を攻撃している、より現実的な敵について検討する。
我々は、この現実的な脅威モデルに作用する攻撃を示し、小データ体制では、分類器の精度を著しく損なうことなく、DP-SGDによって防御できないことを示す。
これにより、トレーニングデータの保護が最重要である場合に、このような転送学習型分類器の使用に関する重要な懸念が持ち上がる。
我々は,MNIST,CIFAR-10,CelebAでそれぞれ転送学習したVGG,EfficientNet,ResNet画像分類器に対する攻撃の有効性とロバスト性を示す。
さらに, 一般に使用されている(真正の)再建成功率尺度は, 実際の再建効果を確実に定量化できないことを指摘する。
代わりに、Neyman-Pearson補題を用いて受信機動作特性曲線を構築し、関連する真正の再現率を偽陽性の再現率の一定レベルで検討する。
関連論文リスト
- Defending Against Neural Network Model Inversion Attacks via Data Poisoning [15.099559883494475]
モデル反転攻撃は、機械学習モデルに重大なプライバシー上の脅威をもたらす。
本稿では,プライバシとユーティリティのバランスを改善するための新しい防御機構を提案する。
本稿では,データ中毒を利用したインバージョンモデルのトレーニングデータを汚染する手法を提案する。
論文 参考訳(メタデータ) (2024-12-10T15:08:56Z) - Leak and Learn: An Attacker's Cookbook to Train Using Leaked Data from Federated Learning [4.533760678036969]
フェデレートラーニング(Federated Learning)は、クライアントデータのプライバシを保護するために導入された分散学習パラダイムである。
以前の研究によると、攻撃者はクライアントのアップデートだけを使用してプライベートなトレーニングデータを再構築できる。
我々は、トレーニングレンズによるデータ再構成攻撃を調査し、漏洩したデータを用いてモデルを改善する。
論文 参考訳(メタデータ) (2024-03-26T23:05:24Z) - Boosting Model Inversion Attacks with Adversarial Examples [26.904051413441316]
ブラックボックス設定において、より高い攻撃精度を達成できる学習ベースモデル反転攻撃のための新しい訓練パラダイムを提案する。
まず,攻撃モデルの学習過程を,意味的損失関数を追加して規則化する。
第2に、学習データに逆例を注入し、クラス関連部の多様性を高める。
論文 参考訳(メタデータ) (2023-06-24T13:40:58Z) - Understanding Reconstruction Attacks with the Neural Tangent Kernel and
Dataset Distillation [110.61853418925219]
我々は、データセット再構築攻撃のより強力なバージョンを構築し、無限の幅で設定されたエンペントリアルトレーニングを確実に回復する方法を示す。
理論的にも経験的にも再構成された画像は、データセットの「外部」に傾向を示す。
これらのリコンストラクション攻撃は, テクストデータセット蒸留において, 再構成画像上で再トレーニングを行い, 高い予測精度を得ることができる。
論文 参考訳(メタデータ) (2023-02-02T21:41:59Z) - Reconstructing Training Data from Model Gradient, Provably [68.21082086264555]
ランダムに選択されたパラメータ値で1つの勾配クエリからトレーニングサンプルを再構成する。
センシティブなトレーニングデータを示す証明可能な攻撃として、われわれの発見はプライバシーに対する深刻な脅威を示唆している。
論文 参考訳(メタデータ) (2022-12-07T15:32:22Z) - Distributed Adversarial Training to Robustify Deep Neural Networks at
Scale [100.19539096465101]
現在のディープニューラルネットワーク(DNN)は、入力に対する敵の摂動が分類を変更したり操作したりする敵の攻撃に対して脆弱である。
このような攻撃を防御するために、敵の訓練(AT)として知られる効果的なアプローチが、堅牢な訓練を緩和するために示されている。
複数のマシンにまたがって実装された大規模バッチ対逆トレーニングフレームワークを提案する。
論文 参考訳(メタデータ) (2022-06-13T15:39:43Z) - Reconstructing Training Data with Informed Adversaries [30.138217209991826]
機械学習モデルへのアクセスを考えると、敵はモデルのトレーニングデータを再構築できるだろうか?
本研究は、この疑問を、学習データポイントの全てを知っている強力な情報提供者のレンズから研究する。
この厳密な脅威モデルにおいて、残りのデータポイントを再構築することは可能であることを示す。
論文 参考訳(メタデータ) (2022-01-13T09:19:25Z) - Learning to Learn Transferable Attack [77.67399621530052]
転送逆行攻撃は非自明なブラックボックス逆行攻撃であり、サロゲートモデル上で敵の摂動を発生させ、そのような摂動を被害者モデルに適用することを目的としている。
本研究では,データとモデル拡張の両方から学習することで,敵の摂動をより一般化する学習可能な攻撃学習法(LLTA)を提案する。
提案手法の有効性を実証し, 現状の手法と比較して, 12.85%のトランスファー攻撃の成功率で検証した。
論文 参考訳(メタデータ) (2021-12-10T07:24:21Z) - How Robust are Randomized Smoothing based Defenses to Data Poisoning? [66.80663779176979]
我々は、トレーニングデータの品質の重要性を強調する堅牢な機械学習モデルに対して、これまで認識されていなかった脅威を提示します。
本稿では,二段階最適化に基づく新たなデータ中毒攻撃法を提案し,ロバストな分類器のロバスト性を保証する。
我々の攻撃は、被害者が最先端のロバストな訓練方法を用いて、ゼロからモデルを訓練しても効果的である。
論文 参考訳(メタデータ) (2020-12-02T15:30:21Z) - Exploring the Security Boundary of Data Reconstruction via Neuron
Exclusivity Analysis [23.07323180340961]
線形整列ユニット(ReLUs)を用いたニューラルネットワーク上の微視的視点による勾配からのデータ再構成のセキュリティ境界について検討する。
ニューラルネットワークの安全性の低い境界にある訓練バッチの再構築において,従来の攻撃よりも大幅に優れる新しい決定論的攻撃アルゴリズムを構築した。
論文 参考訳(メタデータ) (2020-10-26T05:54:47Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。