PriSampler: Mitigating Property Inference of Diffusion Models

要約

拡散モデルはデータ合成において目覚ましい成功を収めています。
このような成功により、拡散モデルが人間の顔データなどの機密データに適用されるようになりましたが、これによりプライバシーに関する重大な懸念が生じる可能性があります。
この研究では、拡散モデルに対するプロパティ推論攻撃に関する最初のプライバシー研究を体系的に紹介します。攻撃者は、特定の機密プロパティに対するトレーニング データの割合など、拡散モデルからトレーニング セットの機密グローバル プロパティを抽出することを目的としています。
具体的には、最も現実的な攻撃シナリオを検討します。攻撃者は合成データの取得のみを許可されます。
この現実的なシナリオの下で、さまざまなタイプのサンプラーと拡散モデルに対するプロパティ推論攻撃を評価します。
幅広い評価により、さまざまな拡散モデルとそのサンプラーがすべてプロパティ推論攻撃に対して脆弱であることが示されています。
さらに、既製の事前トレーニング済み拡散モデルに関する 1 つのケーススタディでも、実際の攻撃の有効性が実証されています。
最後に、拡散モデルのプロパティ推論を軽減するための新しいモデルに依存しないプラグイン メソッド PriSampler を提案します。
PriSampler は、よく訓練された拡散モデルに直接適用でき、確率的サンプリングと決定的サンプリングの両方をサポートします。
広範な実験により、私たちの防御の有効性が実証されており、攻撃者はランダムな推測に近い特性の割合を推測できます。
また、PriSampler は、モデルの実用性と防御パフォーマンスの両方において、差分プライバシーでトレーニングされた拡散モデルよりも大幅に優れたパフォーマンスを示しています。

要約(オリジナル)

Diffusion models have been remarkably successful in data synthesis. Such successes have also driven diffusion models to apply to sensitive data, such as human face data, but this might bring about severe privacy concerns. In this work, we systematically present the first privacy study about property inference attacks against diffusion models, in which adversaries aim to extract sensitive global properties of the training set from a diffusion model, such as the proportion of the training data for certain sensitive properties. Specifically, we consider the most practical attack scenario: adversaries are only allowed to obtain synthetic data. Under this realistic scenario, we evaluate the property inference attacks on different types of samplers and diffusion models. A broad range of evaluations shows that various diffusion models and their samplers are all vulnerable to property inference attacks. Furthermore, one case study on off-the-shelf pre-trained diffusion models also demonstrates the effectiveness of the attack in practice. Finally, we propose a new model-agnostic plug-in method PriSampler to mitigate the property inference of diffusion models. PriSampler can be directly applied to well-trained diffusion models and support both stochastic and deterministic sampling. Extensive experiments illustrate the effectiveness of our defense and it makes adversaries infer the proportion of properties as close as random guesses. PriSampler also shows its significantly superior performance to diffusion models trained with differential privacy on both model utility and defense performance.

arxiv情報

著者 Hailong Hu,Jun Pang
発行日 2023-06-08 14:05:06+00:00
arxivサイト arxiv_id(pdf)

提供元, 利用サービス

arxiv.jp, Google

カテゴリー: cs.CR, cs.CV, cs.LG パーマリンク