Range Membership Inference Attacks

要約

機械学習モデルはトレーニング データに関する個人情報を漏洩する可能性がありますが、メンバーシップ推論攻撃 (MIA) に基づいてこのリスクを測定する標準的な方法には大きな制限があります。
彼らは、特定のデータ ポイント \textit{exactly} がトレーニング ポイントと一致するかどうかのみをチェックし、同じ個人情報を明らかにする類似または部分的に重複するデータの可能性を無視します。
この問題に対処するために、範囲メンバーシップ推論攻撃 (RaMIA) のクラスを導入し、指定された範囲 (プライバシーのセマンティクスに基づいて定義) 内のデータでモデルがトレーニングされたかどうかをテストします。
私たちは RaMIAS ゲームを定式化し、その複雑な仮説に対する原則に基づいた統計的テストを設計します。
RaMIA は、表形式、画像、言語などのさまざまな種類のデータについて、MIA よりも正確かつ包括的にプライバシーの損失を捕捉できることを示します。
RaMIA は、機械学習アルゴリズムのより包括的で有意義なプライバシー監査への道を開きます。

要約(オリジナル)

Machine learning models can leak private information about their training data, but the standard methods to measure this risk, based on membership inference attacks (MIAs), have a major limitation. They only check if a given data point \textit{exactly} matches a training point, neglecting the potential of similar or partially overlapping data revealing the same private information. To address this issue, we introduce the class of range membership inference attacks (RaMIAs), testing if the model was trained on any data in a specified range (defined based on the semantics of privacy). We formulate the RaMIAs game and design a principled statistical test for its complex hypotheses. We show that RaMIAs can capture privacy loss more accurately and comprehensively than MIAs on various types of data, such as tabular, image, and language. RaMIA paves the way for a more comprehensive and meaningful privacy auditing of machine learning algorithms.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google