Some Targets Are Harder to Identify than Others: Quantifying the Target-dependent Membership Leakage

要約

メンバーシップ推論（MI）ゲームでは、攻撃者がターゲットポイントがアルゴリズムの入力に含まれているかどうかを推測しようとします。
既存の作品は、いくつかのターゲットポイントが識別が容易であることを示していますが、他の作品はより困難です。
このペーパーでは、固定ターゲットMIゲームで最適な攻撃の力を研究することにより、メンバーシップ攻撃の目標依存性の硬度について説明します。
ターゲットポイントとデータ生成分布の間のマハラノビス距離の観点から、経験的平均に対する攻撃の最適な利点とトレードオフ機能を特徴付けます。
さらに、2つのプライバシー防御の影響、つまりガウスノイズとサブサンプリングの追加、および最適な攻撃に関するターゲットの誤りの影響を導き出します。
尤度比（LR）テストの新しい分析の副産物として、スカラー産物攻撃を一般化および改善する新しい共分散攻撃を提供します。
また、ホワイトボックスフェデレート学習環境でプライバシーを監査するための新しい最適なカナリアを選択する戦略を提案します。
私たちの実験では、マハラノビスのスコアが固定ターゲットMIゲームの硬度を説明していることを検証しています。

要約(オリジナル)

In a Membership Inference (MI) game, an attacker tries to infer whether a target point was included or not in the input of an algorithm. Existing works show that some target points are easier to identify, while others are harder. This paper explains the target-dependent hardness of membership attacks by studying the powers of the optimal attacks in a fixed-target MI game. We characterise the optimal advantage and trade-off functions of attacks against the empirical mean in terms of the Mahalanobis distance between the target point and the data-generating distribution. We further derive the impacts of two privacy defences, i.e. adding Gaussian noise and sub-sampling, and that of target misspecification on optimal attacks. As by-products of our novel analysis of the Likelihood Ratio (LR) test, we provide a new covariance attack which generalises and improves the scalar product attack. Also, we propose a new optimal canary-choosing strategy for auditing privacy in the white-box federated learning setting. Our experiments validate that the Mahalanobis score explains the hardness of fixed-target MI games.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google