DREAM: Domain-free Reverse Engineering Attributes of Black-box Model

要約

深層学習モデルは、機械学習プラットフォームに展開されると通常ブラック ボックスになります。
これまでの研究では、ターゲットのブラックボックス ニューラル ネットワークの属性 ($e.g. $、畳み込み層の数) が一連のクエリを通じて公開できることが示されています。
重大な制限があります。これらの研究では、ターゲット モデルのトレーニングに使用されるデータセットが事前にわかっていることを前提としており、このデータセットをモデル属性攻撃に利用します。
しかし、実際には対象となるブラックボックスモデルの学習データセットにアクセスすることは困難です。
したがって、この場合でもターゲットのブラックボックス モデルの属性を明らかにできるかどうかは疑問です。
この論文では、ターゲット モデルのトレーニング データセットの可用性を必要とせずに、DREAM と呼ばれるブラック ボックス ターゲット モデルの属性をドメインに依存しないリバース エンジニアリングするという新しい問題を調査し、この問題を分布外 (OOD) 一般化問題としてキャストすることにより、一般的で原理的なフレームワークを提案します。
このようにして、ドメインに依存しないモデルを学習して、未知のトレーニング データを使用してターゲット ブラック ボックス モデルの属性を逆推論することができます。
これにより、私たちのメソッドは、強力な一般化機能を備えたモデル属性リバース エンジニアリングの任意のドメインに適切に適用できる種類の 1 つになります。
広範な実験研究が実施され、その結果はベースラインに対する私たちの提案方法の優位性を検証します。

要約(オリジナル)

Deep learning models are usually black boxes when deployed on machine learning platforms. Prior works have shown that the attributes ($e.g.$, the number of convolutional layers) of a target black-box neural network can be exposed through a sequence of queries. There is a crucial limitation: these works assume the dataset used for training the target model to be known beforehand and leverage this dataset for model attribute attack. However, it is difficult to access the training dataset of the target black-box model in reality. Therefore, whether the attributes of a target black-box model could be still revealed in this case is doubtful. In this paper, we investigate a new problem of Domain-agnostic Reverse Engineering the Attributes of a black-box target Model, called DREAM, without requiring the availability of the target model’s training dataset, and put forward a general and principled framework by casting this problem as an out of distribution (OOD) generalization problem. In this way, we can learn a domain-agnostic model to inversely infer the attributes of a target black-box model with unknown training data. This makes our method one of the kinds that can gracefully apply to an arbitrary domain for model attribute reverse engineering with strong generalization ability. Extensive experimental studies are conducted and the results validate the superiority of our proposed method over the baselines.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google