Pseudo Label-Guided Model Inversion Attack via Conditional Generative Adversarial Network

要約

モデル反転 (MI) 攻撃により、公開モデルからトレーニング データを再構築できるプライバシーに関する懸念が高まっています。
実際、MI 攻撃は、特定の空間でプライベート データを探す最適化問題として形式化できます。
最近の MI 攻撃は、敵対的生成ネットワーク (GAN) を画像として利用して検索空間を狭め、高次元データ (顔画像など) さえも正常に再構築できます。
ただし、これらのジェネレーティブ MI 攻撃は、ターゲット モデルの潜在的な機能を十分に活用しておらず、あいまいで結合された検索空間につながります。つまり、異なるクラスの画像が検索空間で結合されます。
さらに、これらの攻撃で広く使用されているクロスエントロピー損失は、勾配消失の影響を受けます。
これらの問題に対処するために、条件付き GAN (cGAN) を介した Pseudo Label-Guided MI (PLG-MI) 攻撃を提案します。
最初に、公開データに疑似ラベルを提供し、疑似ラベルを使用して cGAN のトレーニングをガイドするために、トップ n 選択戦略が提案されています。
このようにして、検索空間は異なるクラスの画像に対して分離されます。
次に、ターゲット クラスの部分空間での検索プロセスを改善するために、最大マージン損失が導入されます。
広範な実験により、当社の PLG-MI 攻撃は、さまざまなデータセットとモデルの攻撃成功率と視覚的品質を大幅に改善することが実証されています。
コードは https://github.com/LetheSec/PLG-MI-Attack で入手できます。

要約(オリジナル)

Model inversion (MI) attacks have raised increasing concerns about privacy, which can reconstruct training data from public models. Indeed, MI attacks can be formalized as an optimization problem that seeks private data in a certain space. Recent MI attacks leverage a generative adversarial network (GAN) as an image prior to narrow the search space, and can successfully reconstruct even the high-dimensional data (e.g., face images). However, these generative MI attacks do not fully exploit the potential capabilities of the target model, still leading to a vague and coupled search space, i.e., different classes of images are coupled in the search space. Besides, the widely used cross-entropy loss in these attacks suffers from gradient vanishing. To address these problems, we propose Pseudo Label-Guided MI (PLG-MI) attack via conditional GAN (cGAN). At first, a top-n selection strategy is proposed to provide pseudo-labels for public data, and use pseudo-labels to guide the training of the cGAN. In this way, the search space is decoupled for different classes of images. Then a max-margin loss is introduced to improve the search process on the subspace of a target class. Extensive experiments demonstrate that our PLG-MI attack significantly improves the attack success rate and visual quality for various datasets and models, notably, 2~3 $\times$ better than state-of-the-art attacks under large distributional shifts. Our code is available at: https://github.com/LetheSec/PLG-MI-Attack.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google