Re-thinking Model Inversion Attacks Against Deep Neural Networks

Ngoc-Bao Nguyen; Keshigeyan Chandrasegaran; Milad Abdollahzadeh; Ngai-Man Cheung

ディープニューラルネットワークに対するモデル反転攻撃の再考

モデル反転 (MI) 攻撃は、モデルへのアクセスを悪用して、プライベートトレーニングデータを推測し、再構築することを目的としています。 MI 攻撃は、機密情報 (顔認識システムのトレーニングに使用される個人の顔画像など) の漏洩に関する懸念を引き起こしています。最近、攻撃性能を向上させるための MI のアルゴリズムがいくつか提案されています。この作業では、MI を再検討し、すべての最先端 (SOTA) MI アルゴリズムに関連する 2 つの基本的な問題を研究し、すべての SOTA MI の攻撃パフォーマンスの大幅な向上につながるこれらの問題の解決策を提案します。特に、私たちの貢献は 2 つあります。1) SOTA MI アルゴリズムの最適化目標を分析し、目標が MI を達成するのに最適ではないことを主張し、攻撃パフォーマンスを大幅に向上させる改善された最適化目標を提案します。 2) 「MI オーバーフィッティング」を分析し、再構築された画像がトレーニングデータのセマンティクスを学習するのを妨げることを示し、この問題を克服するための新しい「モデル拡張」のアイデアを提案します。私たちが提案するソリューションはシンプルで、すべての SOTA MI 攻撃の精度を大幅に向上させます。たとえば、標準の CelebA ベンチマークでは、当社のソリューションは精度を 11.8% 向上させ、初めて 90% を超える攻撃精度を達成しました。私たちの調査結果は、ディープラーニングモデルから機密情報が漏洩する明確なリスクがあることを示しています。プライバシーへの影響について真剣に検討することをお勧めします。コード、デモ、モデルは https://ngoc-nguyen-0.github.io/re-thinking_model_inversion_attacks/ で入手できます。

Model inversion (MI) attacks aim to infer and reconstruct private training data by abusing access to a model. MI attacks have raised concerns about the leaking of sensitive information (e.g. private face images used in training a face recognition system). Recently, several algorithms for MI have been proposed to improve the attack performance. In this work, we revisit MI, study two fundamental issues pertaining to all state-of-the-art (SOTA) MI algorithms, and propose solutions to these issues which lead to a significant boost in attack performance for all SOTA MI. In particular, our contributions are two-fold: 1) We analyze the optimization objective of SOTA MI algorithms, argue that the objective is sub-optimal for achieving MI, and propose an improved optimization objective that boosts attack performance significantly. 2) We analyze "MI overfitting", show that it would prevent reconstructed images from learning semantics of training data, and propose a novel "model augmentation" idea to overcome this issue. Our proposed solutions are simple and improve all SOTA MI attack accuracy significantly. E.g., in the standard CelebA benchmark, our solutions improve accuracy by 11.8% and achieve for the first time over 90% attack accuracy. Our findings demonstrate that there is a clear risk of leaking sensitive information from deep learning models. We urge serious consideration to be given to the privacy implications. Our code, demo, and models are available at https://ngoc-nguyen-0.github.io/re-thinking_model_inversion_attacks/

updated: Thu Jun 15 2023 14:00:24 GMT+0000 (UTC)

published: Tue Apr 04 2023 09:58:07 GMT+0000 (UTC)

arXiv

参考文献 (このサイトで利用可能なもの) / References (only if available on this site)

被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)

Amazon.co.jpアソシエイト