抄録/ポイント:
抄録/ポイント
文献の概要を数百字程度の日本語でまとめたものです。
部分表示の続きは、JDreamⅢ(有料)でご覧頂けます。
J-GLOBALでは書誌(タイトル、著者名等)登載から半年以上経過後に表示されますが、医療系文献の場合はMyJ-GLOBALでのログインが必要です。
訓練者と訓練されたモデルが公開されているとき,ブラックボックスとホワイトボックス設定の両方で,メンバーシップ推論攻撃に対して,機械学習分類器(Defenderモデル)のような予測モデルを防御する問題に取り組んだ。デフェンダーは二重目的:ユーティリティとプライバシーの最適化を目的とする。AttackerとEvaluatorを含む外部装置を用いて,ユーティリティとプライバシーの両方を評価した。一方では,Defender訓練データに同様に分布した保護データを使用して,ユーティリティを評価した。一方,Defender訓練データと混合した保護データを,メンバーシップ推論攻撃ロバスト性を評価するために使用した。両事例において,分類精度または誤り率を計量として使った:ユーティリティをDefenderモデルの分類精度で評価した。プライバシーは,それぞれからの1つのサンプルのメンバーシップラベルを除いて,すべてのデフェンダーと保護されたデータへのアクセスを有するいわゆる「Lave-Two-Unラベル付け」LTU Attackerのメンバーシップ予測誤差によって評価される。著者らは,ある条件の下で,”na”iive LTU Attackerが,単純な攻撃戦略でプライバシー損失の下限を達成でき,プライバシーを保護するための具体的必要条件をもたらすことを証明した。しかし,過剰適合の防止といくつかのランダム性の追加により,そのようなna”ive LTU Attacker”は,文献において脆弱であることが知られているモデルのプライバシーを攻撃できないことを示し,LTU攻撃者をプライバシーを評価する強力な手段に代えるために,知識を強い攻撃戦略で補完しなければならないことを示した。QMNISTとCIFAR-10データセットに関する著者らの実験は,著者らの理論的結果を検証し,プライバシー攻撃に対して保護するアルゴリズムにおける過剰適合防止とランダム性の役割を確認した。【JST・京大機械翻訳】