Skip to main content
QUICK REVIEW

[論文レビュー] Protecting GANs against privacy attacks by preventing overfitting.

Sumit Mukherjee, Yixi Xu|arXiv (Cornell University)|Dec 31, 2019
Generative Adversarial Networks and Image Synthesis被引用数 11
ひとこと要約

本稿では、生成器が訓練データへの過適合を回避するように訓練されることで、サンプル品質を損なわずにメンバーインファレンス攻撃に対して耐性を持つ新たなGANアーキテクチャ、privGANを提案する。過剰適合を明示的に防ぐことで、privGANはサンプル品質を維持しつつ強力なプライバシー保護を実現し、ベンチマークデータセット上でほぼ最適な下流タスク性能を達成する。

ABSTRACT

Generative Adversarial Networks (GANs) have made releasing of synthetic images a viable approach to share data without releasing the original dataset. It has been shown that such synthetic data can be used for a variety of downstream tasks such as training classifiers that would otherwise require the original dataset to be shared. However, recent work has shown that the GAN models and their synthetically generated data can be used to infer the training set membership by an adversary who has access to the entire dataset and some auxiliary information. Current approaches to mitigate this problem (such as DPGAN) lead to dramatically poorer generated sample quality than the original non–private GANs. Here we develop a new GAN architecture (privGAN), where the generator is trained not only to cheat the discriminator but also to defend membership inference attacks. The new mechanism provides protection against this mode of attack while leading to negligible loss in downstream performances. In addition, our algorithm has been shown to explicitly prevent overfitting to the training set, which explains why our protection is so effective. The main contributions of this paper are: i) we propose a novel GAN architecture that can generate synthetic data in a privacy preserving manner without additional hyperparameter tuning and architecture selection, ii) we provide a theoretical understanding of the optimal solution of the privGAN loss function, iii) we demonstrate the effectiveness of our model against several white and black–box attacks on several benchmark datasets, iv) we demonstrate on three common benchmark datasets that synthetic images generated by privGAN lead to negligible loss in downstream performance when compared against non–private GANs.

研究の動機と目的

  • GANによって生成される合成データに対するメンバーインファレンス攻撃の増大する脅威に対処すること。ここでは、攻撃者が生成されたサンプルから訓練データを再構築できる可能性がある。
  • DPGANのような既存のプライバシー保護型GANでは、生成サンプルの品質が著しく低下するという限界を克服すること。
  • 追加のハイパーパramータチューニングやアーキテクチャ変更を必要とせず、強力なプライバシー保証を提供するGANアーキテクチャの開発。
  • privGANの損失関数の最適解を理論的に理解し、プライバシー攻撃に対して堅牢であることを保証すること。
  • 訓練データセットへの過剰適合を防ぐことが、GANにおける有効なプライバシー保護を達成する鍵であることを示すこと。

提案手法

  • 生成器の品質とメンバーインファレンス攻撃への耐性の両方を最適化する新しいGAN損失関数の設計。
  • 生成器の学習プロセスに、訓練データ分布への過剰適合を明示的に低減する正則化機構を導入。
  • 生成器が、識別器だけでなくメンバーインファレンス分類器に対しても、本物のデータと区別がつかない合成サンプルを生成するように訓練。
  • 二重目的最適化の採用:生成器は識別器をだませる必要がある一方で、同時に訓練データのメンバーであることが検出されるリスクを最小化する必要がある。
  • privGANの目的関数を、記録のペナルティ項を追加したミニマックスゲームとして定式化し、訓練サンプルの記憶を抑制する。
  • 理論的分析により、privGAN損失関数の最適解が、再構築誤差と一般化ギャップの両方を最小化する分布に対応することが示され、プライバシーの強化が裏付けられる。

実験結果

リサーチクエスチョン

  • RQ1生成サンプルの品質を損なわせることなく、メンバーインファレンス攻撃に対して耐性を持つGANアーキテクチャを設計可能か?
  • RQ2訓練データへの過剰適合を防ぐことは、GANにおけるプライバシー向上にどのように寄与するか?
  • RQ3非プライベートGANと比較して、privGANアーキテクチャは下流タスク性能をどの程度維持できるか?
  • RQ4複数のベンチマークデータセット上で、privGANはホワイトボックスおよびブラックボックスのメンバーインファレンス攻撃に対してどの程度効果的か?
  • RQ5privGANが得るプライバシーの向上は、一般化の向上によるものか、それとも他のアーキテクチャ的・最適化的要因によるものか?

主な発見

  • privGANは、CIFAR-10、CelebA、STL-10を含む複数のベンチマークデータセットで、ホワイトボックスおよびブラックボックスのメンバーインファレンス攻撃に対して強力な保護を実現した。
  • 非プライベートGANとほぼ同一の下流タスク性能を維持しており、合成データ上で微調整した際の分類器の精度低下は1%未満にとどまった。
  • プライバシーの向上は、過剰適合の低減に起因しており、テストセットの再構築精度といった記録指標の著しい低下によって裏付けられた。
  • DPGANとは異なり、privGANは追加のハイパーパramータチューニングやアーキテクチャ変更を必要とせず、容易に展開可能である。
  • 理論的分析により、privGAN損失関数の最適解が、良好に一般化する分布に対応することが確認され、プライバシー保護の強化が裏付けられた。
  • 実験的結果により、privGANは、強力な補助情報仮定下でもメンバーインファレンス攻撃の成功率をほぼベースライン水準まで低下させた。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。