要約
敵対的な堅牢性、つまりエラーを引き起こす操作された入力に耐えるモデルの能力は、現実世界のアプリケーションにおける機械学習モデルの信頼性を確保するために不可欠です。
ただし、これまでの研究では、敵対的トレーニングを通じて敵対的堅牢性を高めると、プライバシー攻撃に対する脆弱性が高まることが示されています。
差分プライバシーはこれらの攻撃を軽減できますが、多くの場合、自然サンプルと敵対的サンプルの両方に対する堅牢性が損なわれます。
私たちの分析により、差分プライバシーが低リスクのサンプルに過度に影響を及ぼし、意図しないパフォーマンスの低下を引き起こすことが明らかになりました。
これに対処するために、高リスクのサンプルを選択的にターゲットにし、プライバシー保護とモデルの堅牢性の間でより良いバランスを実現する DeMem を提案します。
DeMem は多用途であり、さまざまな敵対的トレーニング手法にシームレスに統合できます。
複数のトレーニング方法とデータセットにわたる広範な評価により、DeMem が自然サンプルと敵対的サンプルの両方に対する堅牢性を維持しながら、プライバシー漏洩を大幅に削減することが実証されました。
これらの結果は、堅牢性を損なうことなくプライバシーを強化する上での DeMem の有効性と幅広い適用性を裏付けています。
要約(オリジナル)
Adversarial robustness, the ability of a model to withstand manipulated inputs that cause errors, is essential for ensuring the trustworthiness of machine learning models in real-world applications. However, previous studies have shown that enhancing adversarial robustness through adversarial training increases vulnerability to privacy attacks. While differential privacy can mitigate these attacks, it often compromises robustness against both natural and adversarial samples. Our analysis reveals that differential privacy disproportionately impacts low-risk samples, causing an unintended performance drop. To address this, we propose DeMem, which selectively targets high-risk samples, achieving a better balance between privacy protection and model robustness. DeMem is versatile and can be seamlessly integrated into various adversarial training techniques. Extensive evaluations across multiple training methods and datasets demonstrate that DeMem significantly reduces privacy leakage while maintaining robustness against both natural and adversarial samples. These results confirm DeMem’s effectiveness and broad applicability in enhancing privacy without compromising robustness.
arxiv情報
著者 | Xiaoyu Luo,Qiongxiu Li |
発行日 | 2024-12-10 16:59:55+00:00 |
arxivサイト | arxiv_id(pdf) |
提供元, 利用サービス
arxiv.jp, Google