Parameter Matching Attack: Enhancing Practical Applicability of Availability Attacks

要約

機械学習モデルのトレーニングに個人データが広く使用されると、個人は自分の公開データがその後どのように利用されるかについての制御が制限されるため、プライバシーに関する重大な懸念が生じます。
可用性攻撃は、トレーニング データセットに組み込まれたときにモデルのパフォーマンスを低下させる知覚できない摂動を設計することで、データ所有者がデータを保護する手段として出現しました。
ただし、既存の可用性攻撃は、特にデータの一部のみを混乱させることができる場合、実際の適用には限界があります。
この課題に対処するために、パラメータ マッチング攻撃 (PMA) と呼ばれる新しい可用性攻撃アプローチを提案します。
PMA は、データの一部のみを混乱させることができる場合に機能する最初の可用性攻撃です。
PMA は摂動を最適化するため、クリーンなデータと摂動されたデータの混合でモデルをトレーニングすると、結果として得られるモデルは、パフォーマンスが低下するように設計されたモデルに近づきます。
4 つのデータセットにわたる実験結果は、PMA が既存の手法よりも優れたパフォーマンスを示し、トレーニング データの一部が摂動された場合にモデルのパフォーマンスが大幅に低下することを示しています。
私たちのコードは補足で入手できます。

要約(オリジナル)

The widespread use of personal data for training machine learning models raises significant privacy concerns, as individuals have limited control over how their public data is subsequently utilized. Availability attacks have emerged as a means for data owners to safeguard their data by desning imperceptible perturbations that degrade model performance when incorporated into training datasets. However, existing availability attacks exhibit limitations in practical applicability, particularly when only a portion of the data can be perturbed. To address this challenge, we propose a novel availability attack approach termed Parameter Matching Attack (PMA). PMA is the first availability attack that works when only a portion of data can be perturbed. PMA optimizes perturbations so that when the model is trained on a mixture of clean and perturbed data, the resulting model will approach a model designed to perform poorly. Experimental results across four datasets demonstrate that PMA outperforms existing methods, achieving significant model performance degradation when a part of the training data is perturbed. Our code is available in the supplementary.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google