From Zero to Hero: Detecting Leaked Data through Synthetic Data Injection and Model Querying

要約

機械学習アプリケーションが急増し、その成功はトレーニング データの品質に大きく依存するため、データの知的財産 (IP) を保護することが非常に重要になっています。
保存、送信、消費中にデータを保護するためのさまざまなメカニズムが存在しますが、モデルのトレーニングのために許可なくデータがすでに漏洩していないかどうかを検出する研究はほとんど開発されていません。
この問題は、潜在的な攻撃者が実施するトレーニング プロセスに対する情報と制御が不足しているため、特に困難です。
このペーパーでは、表形式データの領域に焦点を当て、分類モデルのトレーニングに使用される漏洩データを検出するための新しい方法論である局所分布シフト合成 (\textsc{LDSS}) を紹介します。
\textsc{LDSS} の背後にある中心的な概念には、クラス分布の局所的な変化を特徴とする少量の合成データを所有者のデータセットに注入することが含まれます。
これにより、合成データのインジェクションにより、漏洩および変更されたデータセットでトレーニングされたモデルの予測に顕著な差異が生じるため、モデルのクエリのみを通じて、漏洩データでトレーニングされたモデルを効果的に特定することが可能になります。
\textsc{LDSS} は \emph{model-oblivious} であるため、さまざまな分類モデルと互換性があります。
私たちは、5 つの現実世界のデータセットにわたって 7 種類の分類モデルについて広範な実験を実施しました。
総合的な結果は、\textsc{LDSS} の信頼性、堅牢性、忠実性、セキュリティ、効率性を裏付けています。
\textsc{LDSS} を回帰タスクに拡張すると、ベースライン手法と比較して、その多用途性と有効性がさらに強調されます。

要約(オリジナル)

Safeguarding the Intellectual Property (IP) of data has become critically important as machine learning applications continue to proliferate, and their success heavily relies on the quality of training data. While various mechanisms exist to secure data during storage, transmission, and consumption, fewer studies have been developed to detect whether they are already leaked for model training without authorization. This issue is particularly challenging due to the absence of information and control over the training process conducted by potential attackers. In this paper, we concentrate on the domain of tabular data and introduce a novel methodology, Local Distribution Shifting Synthesis (\textsc{LDSS}), to detect leaked data that are used to train classification models. The core concept behind \textsc{LDSS} involves injecting a small volume of synthetic data–characterized by local shifts in class distribution–into the owner’s dataset. This enables the effective identification of models trained on leaked data through model querying alone, as the synthetic data injection results in a pronounced disparity in the predictions of models trained on leaked and modified datasets. \textsc{LDSS} is \emph{model-oblivious} and hence compatible with a diverse range of classification models. We have conducted extensive experiments on seven types of classification models across five real-world datasets. The comprehensive results affirm the reliability, robustness, fidelity, security, and efficiency of \textsc{LDSS}. Extending \textsc{LDSS} to regression tasks further highlights its versatility and efficacy compared with baseline methods.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google