校正されたプルーフオブワークによるモデル抽出のコストの増加
Increasing the Cost of Model Extraction with Calibrated Proof of Work
モデル抽出攻撃では、攻撃者は、パブリックAPIを介して公開された機械学習モデルを繰り返しクエリし、取得した予測に基づいて自分のモデルを調整することで、それを盗むことができます。モデルの盗難を防ぐために、既存の防御策は、悪意のあるクエリの検出、出力の切り捨て、または歪曲に重点を置いているため、正当なユーザーの堅牢性とモデルユーティリティのトレードオフが必然的に発生します。代わりに、モデルの予測を読み取る前に、ユーザーにプルーフオブワークの完了を要求することにより、モデルの抽出を妨げることを提案します。これにより、モデル抽出にクエリアクセスを活用するために必要な計算量が大幅に増加し(最大100倍)、攻撃者を阻止します。各クエリのプルーフオブワークを完了するために必要な作業を調整するため、これにより、通常のユーザーにはわずかなオーバーヘッド(最大2倍)が発生します。これを実現するために、私たちのキャリブレーションは差分プライバシーのツールを適用して、クエリによって明らかにされた情報を測定します。私たちの方法は、被害者モデルを変更する必要がなく、機械学習の実践者が公開されているモデルを簡単に盗まれるのを防ぐために適用できます。
In model extraction attacks, adversaries can steal a machine learning model exposed via a public API by repeatedly querying it and adjusting their own model based on obtained predictions. To prevent model stealing, existing defenses focus on detecting malicious queries, truncating, or distorting outputs, thus necessarily introducing a tradeoff between robustness and model utility for legitimate users. Instead, we propose to impede model extraction by requiring users to complete a proof-of-work before they can read the model's predictions. This deters attackers by greatly increasing (even up to 100x) the computational effort needed to leverage query access for model extraction. Since we calibrate the effort required to complete the proof-of-work to each query, this only introduces a slight overhead for regular users (up to 2x). To achieve this, our calibration applies tools from differential privacy to measure the information revealed by a query. Our method requires no modification of the victim model and can be applied by machine learning practitioners to guard their publicly exposed models against being easily stolen.
updated: Sun Jan 23 2022 12:21:28 GMT+0000 (UTC)
published: Sun Jan 23 2022 12:21:28 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト