Membership Inference Attacks against Diffusion Models

要約

近年、革新的な生成モデルとして拡散モデルが注目されています。
この論文では、拡散モデルがメンバーシップ推論攻撃に耐性があるかどうかを調査し、機械学習モデルのプライバシー漏洩を評価します。
拡散モデルについて、主に、従来のモデルである敵対的生成ネットワーク (GAN) との比較と、拡散モデルに固有のハイパーパラメーター (時間ステップ、サンプリング ステップ、サンプリング分散) との比較の観点から説明します。
ホワイトボックス設定とブラックボックス設定の両方で、CelebA および CIFAR-10 データセットで DDIM を拡散モデルとして、DCGAN を GAN として広範な実験を行い、拡散モデルが GAN としてのメンバーシップ推論攻撃に対して同等に耐性があるかどうかを確認します。
.
次に、時間ステップの影響が大きく、ノイズ スケジュールの中間ステップが攻撃に対して最も脆弱であることを示します。
また、さらなる分析を通じて、2 つの重要な洞察も得られました。
まず、DDIM は、FID を下げるのではなく、小さなサンプル サイズの攻撃に対して脆弱であることがわかりました。
第 2 に、ハイパーパラメータのサンプリング ステップは攻撃への抵抗力にとって重要ですが、サンプリング分散の影響は非常に限定的です。

要約(オリジナル)

Diffusion models have attracted attention in recent years as innovative generative models. In this paper, we investigate whether a diffusion model is resistant to a membership inference attack, which evaluates the privacy leakage of a machine learning model. We primarily discuss the diffusion model from the standpoints of comparison with a generative adversarial network (GAN) as conventional models and hyperparameters unique to the diffusion model, i.e., time steps, sampling steps, and sampling variances. We conduct extensive experiments with DDIM as a diffusion model and DCGAN as a GAN on the CelebA and CIFAR-10 datasets in both white-box and black-box settings and then confirm if the diffusion model is comparably resistant to a membership inference attack as GAN. Next, we demonstrate that the impact of time steps is significant and intermediate steps in a noise schedule are the most vulnerable to the attack. We also found two key insights through further analysis. First, we identify that DDIM is vulnerable to the attack for small sample sizes instead of achieving a lower FID. Second, sampling steps in hyperparameters are important for resistance to the attack, whereas the impact of sampling variances is quite limited.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google