Be Careful What You Smooth For: Label Smoothing Can Be a Privacy Shield but Also a Catalyst for Model Inversion Attacks

要約

ラベル スムージング (硬いラベルの代わりに柔らかいラベルを使用する) は、深層学習に広く採用されている正則化手法であり、一般化やキャリブレーションの強化など、さまざまな利点を示しています。
ただし、モデルのプライバシーの保護に対するその意味はまだ解明されていません。
このギャップを埋めるために、モデル反転攻撃 (MIA) に対するラベル スムージングの影響を調査します。MIA は、分類器にエンコードされた知識を悪用してクラスを代表するサンプルを生成し、そのトレーニング データに関する機密情報を推測することを目的としています。
広範な分析を通じて、従来のラベル スムージングが MIA を助長し、それによってモデルのプライバシー漏洩が増加することが判明しました。
さらに、負の要素による平滑化がこの傾向に対抗し、クラス関連情報の抽出を妨げ、最先端の防御を打ち破ってプライバシーの保護につながることも明らかにしました。
これにより、MIA に対するモデルの回復力を強化するための実用的で強力な新しい方法が確立されます。

要約(オリジナル)

Label smoothing — using softened labels instead of hard ones — is a widely adopted regularization method for deep learning, showing diverse benefits such as enhanced generalization and calibration. Its implications for preserving model privacy, however, have remained unexplored. To fill this gap, we investigate the impact of label smoothing on model inversion attacks (MIAs), which aim to generate class-representative samples by exploiting the knowledge encoded in a classifier, thereby inferring sensitive information about its training data. Through extensive analyses, we uncover that traditional label smoothing fosters MIAs, thereby increasing a model’s privacy leakage. Even more, we reveal that smoothing with negative factors counters this trend, impeding the extraction of class-related information and leading to privacy preservation, beating state-of-the-art defenses. This establishes a practical and powerful novel way for enhancing model resilience against MIAs.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google