Marich: A Query-efficient Distributionally Equivalent Model Extraction Attack using Public Data


私たちは、有益で分布的に同等なターゲットのレプリカを作成することを目的として、予測 API を介して、公開されているデータセットからターゲット ML モデルに最小限のクエリを送信できるブラックボックス モデル抽出攻撃の設計を研究しています。
これにより、モデルに依存しない、アクティブなサンプリング ベースのクエリ選択アルゴリズム Marich が使用されます。
次に、さまざまなテキストと画像のデータセット、および CNN や BERT を含むさまざまなモデルで Marich を評価します。
Marich は、真のモデルの精度の $\sim 60-95\%$ を達成するモデルを抽出し、プライベート トレーニング データセットとは異なる、公開されているデータセットから $\sim 1,000 – 8,500$ クエリを使用します。
Marich によって抽出されたモデルは、既存のアクティブ サンプリング ベースの攻撃と比較して $\sim 2-4\times$ ターゲットの分布に近い予測分布を生成します。
抽出されたモデルは、メンバーシップ推論攻撃下でも $84-96\%$ の精度をもたらします。
実験結果では、Marich がクエリ効率が高く、タスク精度が高く、忠実度が高く、有益なモデル抽出を実行できることが検証されています。


We study design of black-box model extraction attacks that can send minimal number of queries from a publicly available dataset to a target ML model through a predictive API with an aim to create an informative and distributionally equivalent replica of the target. First, we define distributionally equivalent and Max-Information model extraction attacks, and reduce them into a variational optimisation problem. The attacker sequentially solves this optimisation problem to select the most informative queries that simultaneously maximise the entropy and reduce the mismatch between the target and the stolen models. This leads to an active sampling-based query selection algorithm, Marich, which is model-oblivious. Then, we evaluate Marich on different text and image data sets, and different models, including CNNs and BERT. Marich extracts models that achieve $\sim 60-95\%$ of true model’s accuracy and uses $\sim 1,000 – 8,500$ queries from the publicly available datasets, which are different from the private training datasets. Models extracted by Marich yield prediction distributions, which are $\sim 2-4\times$ closer to the target’s distribution in comparison to the existing active sampling-based attacks. The extracted models also lead to $84-96\%$ accuracy under membership inference attacks. Experimental results validate that Marich is query-efficient, and capable of performing task-accurate, high-fidelity, and informative model extraction.


著者 Pratik Karmakar,Debabrota Basu
発行日 2023-10-18 17:08:26+00:00
arxivサイト arxiv_id(pdf)

提供元, 利用サービス, Google

カテゴリー: cs.CR, cs.LG, stat.ML パーマリンク