深い特徴を暗号化することの重要性について
On the Importance of Encrypting Deep Features
この研究では、2つの仮定のみでモデル反転攻撃を分析します。ユーザーデータの特徴ベクトルが既知であり、推論用のブラックボックスAPIが提供されています。一方では、既存の研究の限界は、より実用的な設定を選択することによって対処されます。個人の再識別における最先端のモデルで実験が行われ、2つの攻撃シナリオ(つまり、補助属性の認識とユーザーデータの再構築)が調査されています。結果は、敵対者が厳しい制約の下でも機密情報をうまく推測できることを示しています。一方、特に本番環境の機械学習モデルでは、特徴ベクトルを暗号化することをお勧めします。 AESなどの従来の暗号化方式の代替として、ShuffleBitsと呼ばれるシンプルで効果的な方式が提示されています。より具体的には、各浮動小数点数のバイナリシーケンスがシャッフルされます。ワンタイムパッドスキームを使用して展開され、任意のニューラルネットワークに適用可能なプラグアンドプレイモジュールとして機能し、結果のモデルは暗号化された形式で深い特徴を直接出力します。ソースコードはhttps://github.com/nixingyang/ShuffleBitsで公開されています。
In this study, we analyze model inversion attacks with only two assumptions: feature vectors of user data are known, and a black-box API for inference is provided. On the one hand, limitations of existing studies are addressed by opting for a more practical setting. Experiments have been conducted on state-of-the-art models in person re-identification, and two attack scenarios (i.e., recognizing auxiliary attributes and reconstructing user data) are investigated. Results show that an adversary could successfully infer sensitive information even under severe constraints. On the other hand, it is advisable to encrypt feature vectors, especially for a machine learning model in production. As an alternative to traditional encryption methods such as AES, a simple yet effective method termed ShuffleBits is presented. More specifically, the binary sequence of each floating-point number gets shuffled. Deployed using the one-time pad scheme, it serves as a plug-and-play module that is applicable to any neural network, and the resulting model directly outputs deep features in encrypted form. Source code is publicly available at https://github.com/nixingyang/ShuffleBits.
updated: Mon Aug 16 2021 15:22:33 GMT+0000 (UTC)
published: Mon Aug 16 2021 15:22:33 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト