要約
微調整されたニューラル ネットワークに 2 つの最先端のメンバーシップ推論攻撃 (MIA) を適用する際に、プライバシーの脆弱性とデータセットのプロパティ (クラスごとの例やクラス数など) との関係を分析します。
シャドウ モデルから計算されたスコア分布と統計の観点から、例ごとの MIA 脆弱性を導き出します。
メンバーシップ推論の簡略化されたモデルを導入し、このモデルでは、真陽性率と偽陽性率の差の対数がクラスごとの例の数の対数に線形に依存することを証明します。
私たちは、微調整された大規模画像分類モデルの実際的なプライバシー脆弱性を系統的にテストすることにより、理論的分析を実証的分析で補完し、データ内のクラスごとの例の数と MIA 脆弱性の間で以前に導出されたべき乗則依存性を取得します。
低い偽陽性率での攻撃の陽性率。
最後に、以前に導出した形式のパラメトリック モデルを適合させて、データセットのプロパティに基づいて真陽性率を予測し、目に見えない微調整シナリオで MIA の脆弱性が適切に適合していることを観察します。
要約(オリジナル)
We analyse the relationship between privacy vulnerability and dataset properties, such as examples per class and number of classes, when applying two state-of-the-art membership inference attacks (MIAs) to fine-tuned neural networks. We derive per-example MIA vulnerability in terms of score distributions and statistics computed from shadow models. We introduce a simplified model of membership inference and prove that in this model, the logarithm of the difference of true and false positive rates depends linearly on the logarithm of the number of examples per class. We complement the theoretical analysis with empirical analysis by systematically testing the practical privacy vulnerability of fine-tuning large image classification models and obtain the previously derived power law dependence between the number of examples per class in the data and the MIA vulnerability, as measured by true positive rate of the attack at a low false positive rate. Finally, we fit a parametric model of the previously derived form to predict true positive rate based on dataset properties and observe good fit for MIA vulnerability on unseen fine-tuning scenarios.
arxiv情報
著者 | Marlon Tobaben,Hibiki Ito,Joonas Jälkö,Gauri Pradhan,Yuan He,Antti Honkela |
発行日 | 2024-10-21 17:19:12+00:00 |
arxivサイト | arxiv_id(pdf) |
提供元, 利用サービス
arxiv.jp, Google