Bucks for Buckets (B4B): Active Defenses Against Stealing Encoders

要約

Machine Learning as a Service (MLaaS) API は、指定された入力のベクトル表現を生成する、すぐに使用できる高ユーティリティなエンコーダーを提供します。
これらのエンコーダはトレーニングに非常にコストがかかるため、攻撃者が API へのクエリ アクセスを利用して、元のトレーニング コストの数分の一でエンコーダをローカルに複製するモデル窃取攻撃の格好のターゲットになります。
私たちは、正当な API ユーザーの表現品質を低下させることなく、攻撃が発生している間に盗用を防ぐ初のアクティブな防御である Bucks for Buckets (B4B) を提案します。
私たちの弁護は、エンコーダーの機能を盗もうとする敵対者に返される表現が、特定の下流タスクを解決するためにエンコーダーを利用する正当なユーザーの表現よりも、埋め込み空間のかなり大きな部分をカバーしているという観察に基づいています。vB4B は、これを利用して適応的に調整します。
ユーザーの埋め込み空間の範囲に応じて、返された表現の有用性。
適応型の敵対者が単に複数のユーザー アカウント (シビル) を作成するだけで私たちの防御を逃れることを防ぐために、B4B は各ユーザーの表現を個別に変換します。
これにより、敵対者が複数のアカウントの表現を直接集約して、盗んだエンコーダのコピーを作成することを防ぎます。
私たちの積極的な防御により、パブリック API 上でエンコーダを安全に共有し、民主化するための新しい道が開かれます。

要約(オリジナル)

Machine Learning as a Service (MLaaS) APIs provide ready-to-use and high-utility encoders that generate vector representations for given inputs. Since these encoders are very costly to train, they become lucrative targets for model stealing attacks during which an adversary leverages query access to the API to replicate the encoder locally at a fraction of the original training costs. We propose Bucks for Buckets (B4B), the first active defense that prevents stealing while the attack is happening without degrading representation quality for legitimate API users. Our defense relies on the observation that the representations returned to adversaries who try to steal the encoder’s functionality cover a significantly larger fraction of the embedding space than representations of legitimate users who utilize the encoder to solve a particular downstream task.vB4B leverages this to adaptively adjust the utility of the returned representations according to a user’s coverage of the embedding space. To prevent adaptive adversaries from eluding our defense by simply creating multiple user accounts (sybils), B4B also individually transforms each user’s representations. This prevents the adversary from directly aggregating representations over multiple accounts to create their stolen encoder copy. Our active defense opens a new path towards securely sharing and democratizing encoders over public APIs.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google