論文の概要: ImpMIA: Leveraging Implicit Bias for Membership Inference Attack under Realistic Scenarios
- arxiv url: http://arxiv.org/abs/2510.10625v1
- Date: Sun, 12 Oct 2025 14:12:28 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-10-14 18:06:30.037169
- Title: ImpMIA: Leveraging Implicit Bias for Membership Inference Attack under Realistic Scenarios
- Title(参考訳): ImpMIA: 現実的なシナリオ下でのメンバシップ推論攻撃に対するインシシトバイアスの活用
- Authors: Yuval Golbari, Navve Wasserman, Gal Vardi, Michal Irani,
- Abstract要約: 我々は、ニューラルネットワークのImplicitバイアスを利用するメンバーシップ推論攻撃であるImpMIAを紹介する。
ImpMIAはKarush-Kuhn-Tucker最適条件を用いてトレーニングサンプルを識別する。
- 参考スコア(独自算出の注目度): 25.37906016731147
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Determining which data samples were used to train a model-known as Membership Inference Attack (MIA)-is a well-studied and important problem with implications for data privacy. Black-box methods presume access only to the model's outputs and often rely on training auxiliary reference models. While they have shown strong empirical performance, they rely on assumptions that rarely hold in real-world settings: (i) the attacker knows the training hyperparameters; (ii) all available non-training samples come from the same distribution as the training data; and (iii) the fraction of training data in the evaluation set is known. In this paper, we demonstrate that removing these assumptions leads to a significant drop in the performance of black-box attacks. We introduce ImpMIA, a Membership Inference Attack that exploits the Implicit Bias of neural networks, hence removes the need to rely on any reference models and their assumptions. ImpMIA is a white-box attack -- a setting which assumes access to model weights and is becoming increasingly realistic given that many models are publicly available (e.g., via Hugging Face). Building on maximum-margin implicit bias theory, ImpMIA uses the Karush-Kuhn-Tucker (KKT) optimality conditions to identify training samples. This is done by finding the samples whose gradients most strongly reconstruct the trained model's parameters. As a result, ImpMIA achieves state-of-the-art performance compared to both black and white box attacks in realistic settings where only the model weights and a superset of the training data are available.
- Abstract(参考訳): メンバーシップ推論攻撃(MIA)として知られるモデルをトレーニングするために、どのデータサンプルを使用したかを決定することは、データプライバシに影響を及ぼす上で、よく研究され重要な問題である。
Black-boxメソッドは、モデルの出力のみへのアクセスを前提としており、しばしば補助参照モデルのトレーニングに依存している。
彼らは強い経験的パフォーマンスを示してきたが、現実の環境ではめったに持たない仮定に依存している。
i) 攻撃者は,訓練ハイパーパラメータを知っており,
(ii) トレーニングデータと同じ分布から利用可能なすべての非トレーニングサンプル
(iii)評価セット内のトレーニングデータのごく一部が知られている。
本稿では,これらの仮定を除去することで,ブラックボックス攻撃の性能が大幅に低下することを示す。
我々は、ニューラルネットワークのImplicitバイアスを利用するメンバーシップ推論攻撃であるImpMIAを導入する。
ImpMIAはホワイトボックス攻撃であり、モデルウェイトへのアクセスを前提としており、多くのモデルが公開されている(例えばHugging Faceを通じて)ため、ますます現実的になりつつある。
最大マージンの暗黙バイアス理論に基づいて、ImpMIAはKKT(Karush-Kuhn-Tucker)最適条件を用いてトレーニングサンプルを同定する。
これは、勾配が訓練されたモデルのパラメータを最も強く再構成するサンプルを見つけることによって行われる。
結果として、ImpMIAは、モデル重みとトレーニングデータのスーパーセットのみが利用可能な現実的な環境で、黒と白の両方のボックス攻撃と比較して最先端のパフォーマンスを達成する。
関連論文リスト
- Membership Inference Attacks on Diffusion Models via Quantile Regression [30.30033625685376]
我々は,家族関係推論(MI)攻撃による拡散モデルのプライバシー上の脆弱性を実証する。
提案したMI攻撃は、トレーニングに使用されていない例における再構成損失の分布を予測(定量化)する量子レグレッションモデルを学習する。
我々の攻撃は従来の最先端攻撃よりも優れており、計算コストは著しく低い。
論文 参考訳(メタデータ) (2023-12-08T16:21:24Z) - Practical Membership Inference Attacks against Fine-tuned Large Language Models via Self-prompt Calibration [32.15773300068426]
メンバーシップ推論攻撃は、対象のデータレコードがモデルトレーニングに使用されたかどうかを推測することを目的としている。
自己校正確率変動(SPV-MIA)に基づくメンバーシップ推論攻撃を提案する。
論文 参考訳(メタデータ) (2023-11-10T13:55:05Z) - Fast Model Debias with Machine Unlearning [54.32026474971696]
ディープニューラルネットワークは多くの現実世界のシナリオでバイアスのある振る舞いをする。
既存のデバイアス法は、バイアスラベルやモデル再トレーニングのコストが高い。
バイアスを特定し,評価し,除去するための効率的なアプローチを提供する高速モデル脱バイアスフレームワーク(FMD)を提案する。
論文 参考訳(メタデータ) (2023-10-19T08:10:57Z) - Unstoppable Attack: Label-Only Model Inversion via Conditional Diffusion
Model [14.834360664780709]
モデルアタック(MIA)は、深層学習モデルの到達不可能なトレーニングセットからプライベートデータを復元することを目的としている。
そこで本研究では,条件拡散モデル(CDM)を応用したMIA手法を開発し,対象ラベル下でのサンプルの回収を行う。
実験結果から,本手法は従来手法よりも高い精度で類似したサンプルをターゲットラベルに生成できることが示唆された。
論文 参考訳(メタデータ) (2023-07-17T12:14:24Z) - Membership Inference Attacks against Synthetic Data through Overfitting
Detection [84.02632160692995]
我々は、攻撃者が基礎となるデータ分布についてある程度の知識を持っていると仮定する現実的なMIA設定について論じる。
生成モデルの局所的なオーバーフィッティングをターゲットとして,メンバシップを推論することを目的とした密度ベースMIAモデルであるDOMIASを提案する。
論文 参考訳(メタデータ) (2023-02-24T11:27:39Z) - Self-Damaging Contrastive Learning [92.34124578823977]
ラベルのないデータは一般に不均衡であり、長い尾の分布を示す。
本稿では,クラスを知らずに表現学習を自動的にバランスをとるための,自己学習コントラスト学習という原則的枠組みを提案する。
実験の結果,SDCLRは全体としての精度だけでなく,バランス性も著しく向上することがわかった。
論文 参考訳(メタデータ) (2021-06-06T00:04:49Z) - MixKD: Towards Efficient Distillation of Large-scale Language Models [129.73786264834894]
データに依存しない蒸留フレームワークであるMixKDを提案する。
妥当な条件下では、MixKDは誤差と経験的誤差の間のギャップを小さくする。
限定的なデータ設定とアブレーションによる実験は、提案手法の利点をさらに証明している。
論文 参考訳(メタデータ) (2020-11-01T18:47:51Z) - Knowledge-Enriched Distributional Model Inversion Attacks [49.43828150561947]
モデルインバージョン(MI)攻撃は、モデルパラメータからトレーニングデータを再構成することを目的としている。
本稿では,パブリックデータからプライベートモデルに対する攻撃を行うのに役立つ知識を抽出する,新しい反転型GANを提案する。
実験の結果,これらの手法を組み合わせることで,最先端MI攻撃の成功率を150%向上させることができることがわかった。
論文 参考訳(メタデータ) (2020-10-08T16:20:48Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。