Do Parameters Reveal More than Loss for Membership Inference?

要約

メンバーシップ推論攻撃は、個々のレコードがモデルのトレーニングに使用されたかどうかを推測することを目的としており、開示監査の重要なツールとして機能します。
このような評価はリスクを実証するのに役立ちますが、計算コストが高く、潜在的な敵対者のモデルやトレーニング環境へのアクセスについて強い仮定を立てることが多いため、潜在的な攻撃による漏洩に対して非常に厳しい制限を設けることはできません。
最適なメンバーシップ推論にはブラック ボックス アクセスが十分であるという以前の主張が、確率的勾配降下法などの最も有用な設定には当てはまらないこと、および最適なメンバーシップ推論には実際にホワイト ボックス アクセスが必要であることを示します。
逆ヘシアン ベクトル積の計算を利用してモデル パラメーターを明示的に使用する新しいホワイトボックス推論攻撃 IHA (逆ヘシアン攻撃) を使用して、結果を検証します。
私たちの結果は、監査と敵対者の両方がモデルパラメータへのアクセスから利益を得られる可能性があることを示しており、メンバーシップのプライバシー監査のためのホワイトボックス手法についてさらなる研究を行うことを主張します。

要約(オリジナル)

Membership inference attacks aim to infer whether an individual record was used to train a model, serving as a key tool for disclosure auditing. While such evaluations are useful to demonstrate risk, they are computationally expensive and often make strong assumptions about potential adversaries’ access to models and training environments, and thus do not provide very tight bounds on leakage from potential attacks. We show how prior claims around black-box access being sufficient for optimal membership inference do not hold for most useful settings such as stochastic gradient descent, and that optimal membership inference indeed requires white-box access. We validate our findings with a new white-box inference attack IHA (Inverse Hessian Attack) that explicitly uses model parameters by taking advantage of computing inverse-Hessian vector products. Our results show that both audits and adversaries may be able to benefit from access to model parameters, and we advocate for further research into white-box methods for membership privacy auditing.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google