メンバーシップ推論の限界【JST・京大機械翻訳】

Thudi Anvith; Shumailov Ilia; Boenisch Franziska; Papernot Nicolas

プレプリント

J-GLOBAL ID：202202205909850490 整理番号：22P0294844

メンバーシップ推論の限界【JST・京大機械翻訳】

Bounding Membership Inference

出版者サイト {{ this.onShowPLink() }} 複写サービスで全文入手
高度な検索・分析はJDreamⅢで

この文献はプレプリントです。プレプリントについてはこちらをご確認ください。

著者 (4件)： , , ,
資料名：
発行年： 2022年02月24日プレプリントサーバーでの情報更新日： 2022年12月17日
JST資料番号： O7000B 資料種別：プレプリント
記事区分：プレプリント発行国：アメリカ合衆国 (USA) 言語：英語 (EN)

微分プライバシー(DP)は,訓練アルゴリズムのプライバシー保証に関する推論のためのデファクト標準である。DPが既存のメンバーシップ推論(MI)攻撃に対するモデルの脆弱性を低減するという経験的観察にもかかわらず,なぜこれがこのケースであるのかという理論的根拠は,文献では大部分欠けている。実際に,このモデルはDP保証で訓練する必要があり,それらの精度を大きく減少させることを意味する。本論文では,訓練アルゴリズムが(ε,δ)-DPを提供するとき,任意のMI広告の正精度(即ち,攻撃精度)にタイトな境界を提供する。この境界は,新しいプライバシー増幅方式の設計を知らせる:効果的な訓練セットは訓練の開始前により大きな集合からサブサンプリングされる。これが,MIの正精度の境界を大きく低減することを見出した。その結果,著者らのスキームは,任意のMI広告の成功を制限するための緩いDP保証の使用を可能にする。これは,モデルの正確性がプライバシー保証によってあまり影響されないことを確実にする。これは,彼らが訓練する必要性より,はるかに多くのデータで働く実体に明らかに利益があるが,学術文献において研究されたベンチマークに関する精度-プライバシートレードオフも改善できる。その結果,サブサンプリングは,MNISTとCIFAR10に対する強力なDP保証による訓練よりも,最先端のMI攻撃(LiRA)の有効性を大幅に低減することを見出した。機械学習の分野に結合されたMIの意味を考察することにより結論を下した。【JST・京大機械翻訳】

, , , , , , , , , , ,
, , , , 【Automatic Indexing@JST】

データ保護

, , ,

前のページに戻る