InstaHideへの攻撃:インスタンスエンコーディングでプライベート学習は可能ですか?
An Attack on InstaHide: Is Private Learning Possible with Instance Encoding?
生成されたモデルがそのトレーニングセットについて(あまりにも)明らかにしない場合、学習アルゴリズムはプライベートです。 InstaHide [Huang、Song、Li、Arora、ICML'20]は、通常の学習者によって処理される前に入力を変更するエンコードメカニズムによってプライバシーを保護すると主張する最近の提案です。エンコードされた画像を使用して元の画像の視覚的に認識可能なバージョンを復元できるInstaHideに対する再構成攻撃を提示します。私たちの攻撃は効果的かつ効率的であり、CIFAR-10、CIFAR-100、および最近リリースされたInstaHideチャレンジでInstaHideを経験的に破壊します。インスタンスエンコーディングを通じて学習のさまざまなプライバシー概念をさらに形式化し、これらの概念を実現する可能性を調査します。インスタンスエンコーディングを使用する学習プロトコルを通じて、プライバシー(識別不能性に基づく概念)を達成することに対する障壁を証明します。
A learning algorithm is private if the produced model does not reveal (too much) about its training set. InstaHide [Huang, Song, Li, Arora, ICML'20] is a recent proposal that claims to preserve privacy by an encoding mechanism that modifies the inputs before being processed by the normal learner. We present a reconstruction attack on InstaHide that is able to use the encoded images to recover visually recognizable versions of the original images. Our attack is effective and efficient, and empirically breaks InstaHide on CIFAR-10, CIFAR-100, and the recently released InstaHide Challenge. We further formalize various privacy notions of learning through instance encoding and investigate the possibility of achieving these notions. We prove barriers against achieving (indistinguishability based notions of) privacy through any learning protocol that uses instance encoding.
updated: Tue Nov 10 2020 18:55:20 GMT+0000 (UTC)
published: Tue Nov 10 2020 18:55:20 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト