On the Limitations of Model Stealing with Uncertainty Quantification Models

要約

モデルの盗用は、元のトレーニング コストの数分の一で被害者モデルの機能を推論することを目的としています。
目標は明確ですが、実際にはモデルのアーキテクチャ、重みの次元、および元のトレーニング データを正確に決定することができないため、盗用中に相互に不確実性が生じます。
この研究では、複数の考えられるネットワークを生成し、それらの予測を組み合わせて盗まれたモデルの品質を向上させることで、この不確実性に明示的に取り組みます。
このために、モデル盗用タスクで 5 つの一般的な不確実性定量化モデルを比較します。
驚くべきことに、私たちの結果は、検討したモデルは、盗まれたモデルに対するラベルの一致（つまり、忠実度）の点でわずかな改善にしかつながらないことを示しています。
この原因を見つけるために、トレーニング反復の関数として予測の分散を調べることにより、モデルの予測の多様性を検査します。
トレーニング中、モデルは同様の予測を持つ傾向があることがわかりました。これは、不確実性定量化モデルを使用して活用したいネットワークの多様性が、モデル盗用タスクの改善には十分ではないことを示しています。

要約(オリジナル)

Model stealing aims at inferring a victim model’s functionality at a fraction of the original training cost. While the goal is clear, in practice the model’s architecture, weight dimension, and original training data can not be determined exactly, leading to mutual uncertainty during stealing. In this work, we explicitly tackle this uncertainty by generating multiple possible networks and combining their predictions to improve the quality of the stolen model. For this, we compare five popular uncertainty quantification models in a model stealing task. Surprisingly, our results indicate that the considered models only lead to marginal improvements in terms of label agreement (i.e., fidelity) to the stolen model. To find the cause of this, we inspect the diversity of the model’s prediction by looking at the prediction variance as a function of training iterations. We realize that during training, the models tend to have similar predictions, indicating that the network diversity we wanted to leverage using uncertainty quantification models is not (high) enough for improvements on the model stealing task.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google