Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] White-box vs Black-box: Bayes Optimal Strategies for Membership Inference

Alexandre Sablayrolles, Matthijs Douze|arXiv (Cornell University)|2019. 08. 29.
Adversarial Robustness in Machine Learning인용 수 113
한 줄 요약

본 논문은 Bayes-최적의 멤버십 추론 전략을 도출해 흑박(손실 기반) 공격이 완화된 가정 하에서 화이트박스 공격과 대등하게 작동할 수 있음을 보이고, CIFAR-10 및 ImageNet에서 이전 방법을 능가하는 실용적 근사치를 제시한다.

ABSTRACT

Membership inference determines, given a sample and trained parameters of a machine learning model, whether the sample was part of the training set. In this paper, we derive the optimal strategy for membership inference with a few assumptions on the distribution of the parameters. We show that optimal attacks only depend on the loss function, and thus black-box attacks are as good as white-box attacks. As the optimal strategy is not tractable, we provide approximations of it leading to several inference methods, and show that existing membership inference methods are coarser approximations of this optimal strategy. Our membership attacks outperform the state of the art in various settings, ranging from a simple logistic regression to more complex architectures and datasets, such as ResNet-101 and Imagenet.

연구 동기 및 목표

  • 화이트박스와 블랙박스 설정 모두에서 멤버십 추론에 대한 동기를 제시하고 이를 형식화한다.
  • Bayes-최적의 멤버십 추론 전략을 도출하고 이 전략이 손실에 의해서만 의존하며 모델 매개변수에는 의존하지 않음을 보인다.
  • 실용적이고 계산적으로 다루기 쉬운 근사들(MAST, MALT, MATT)을 개발하고 이를 차등 프라이버시 개념과 연결한다.
  • CIFAR-10 및 ImageNet에서 공격을 실증적으로 검증하고 최신 방법과 비교한다.

제안 방법

  • 훈련 절차를 T인 온도로 매개변수에 대한 사후분포로 모델링한다(가능도는 exp(-1/T sum loss)와 비례).
  • 베이즈적 추론을 사용하여 Bayes-최적 멤버십 확률 M(θ, z1)를 도출하고, 점수 s와 보정항 τ를 통해 손실에 의해서만 의존함을 보여준다.
  • 최적 점수의 명시적 근사를 도입한다: MAST(샘플별 보정 τ(z1)), MALT(상수 τ), 그리고 MATT(Taylor 기반 근사).
  • 결과를 차등 프라이버시와 관련짓고 ε-차등 프라이버시 및 (ε, δ)-멤버십 프라이버시 보장을 제시하며 훈련 절차에 대한 시사점을 논한다.
  • 이 이론을 실용적 공격 알고리즘으로 옮기고 기준선(0-1) 및 섀도우 모델을 논의한다.
  • 다양한 데이터 증강을 적용한 CIFAR-10의 CNN 특징을 갖는 로지스틱 회귀, 소형 CNN, 대형 모델(ImageNet)을 대상으로 공격을 평가한다.

실험 결과

연구 질문

  • RQ1주어진 모델 매개변수와 대상 샘플에서 멤버십 추론에 대한 Bayes-최적 전략은 무엇인가?
  • RQ2Bayes-최적 공격이 대상 샘플의 손실을 넘어 모델 매개변수에 의존하는가?
  • RQ3실용적이고 계산적인 근사치(MAST, MALT, MATT)가 기존의 멤버십 추론 방법을 능가할 수 있는가?
  • RQ4데이터 증강과 모델 규모가 CIFAR-10과 ImageNet 같은 실제 데이터셋에서 멤버십 추론 공격의 강도에 어떤 영향을 미치는가?

주요 결과

  • 최적 멤버십 추론은 손실에만 의존하고 분류기 매개변수에 의존하지 않으므로 화이트박스 공격이 블랙박스 공격에 비해 점근적 이점을 제공하지 않는다.
  • 세 가지 명시적 근사(MAST, MALT, MATT)는 여러 설정에서 선행 방법(0-1 기준선 및 섀도우 모델)을 능가하는 실용적 공격을 제공한다.
  • 간단한 로지스틱 회귀를 사용한 CIFAR-10에서 MALT와 MATT가 0-1 및 섀도우 모델 공격보다 공격 정확도가 높으며, 보통 MATT가 가장 강력하다.
  • ImageNet(VGG-16, ResNet-101)에서 데이터 증강은 공격 격차를 줄이지만, 증강 없이도 Bayes-최적 및 MALT 공격은 상당한 멤버십 프라이버시 침해를 달성하고(약 90% 정확도), 증강 시에도 64%를 넘는다.
  • CIFAR-10 및 ImageNet에 대한 실험은 모델 복잡도와 데이터 상황에 관계없이 제안된 공격의 효과를 보여준다.
  • 이 프레임워크는 멤버십 추론을 차등 프라이버시와 연결하고, 특정 가정하에 명시적 ε-차등 프라이버시 보장과 ε, δ-멤버십 프라이버시 경계를 제공한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.