Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Uncovering Memorization in Timeseries Imputation models: LBRM Membership Inference and its link to attribute Leakage

Faiz Taleb, Ivan Gazeau|arXiv (Cornell University)|2026. 03. 25.
Privacy-Preserving Technologies in Data인용 수 0
한 줄 요약

이 논문은 시간 시계열 보간 모델에 대한 Loss-Based with Reference Model (LBRM) 멤버십 추론 공격과 memorization을 악용하는 속성 추론 공격(AIA)을 제시한다; 여러 아키텍처에서 블랙박스 설정에서 MIA와 AIA 사이에 강한 상관관계가 있음을 보인다.

ABSTRACT

Deep learning models for time series imputation are now essential in fields such as healthcare, the Internet of Things (IoT), and finance. However, their deployment raises critical privacy concerns. Beyond the well-known issue of unintended memorization, which has been extensively studied in generative models, we demonstrate that time series models are vulnerable to inference attacks in a black-box setting. In this work, we introduce a two-stage attack framework comprising: (1) a novel membership inference attack based on a reference model that improves detection accuracy, even for models robust to overfitting-based attacks, and (2) the first attribute inference attack that predicts sensitive characteristics of the training data for timeseries imputation model. We evaluate these attacks on attention-based and autoencoder architectures in two scenarios: models that are trained from scratch, and fine-tuned models where the adversary has access to the initial weights. Our experimental results demonstrate that the proposed membership attack retrieves a significant portion of the training data with a tpr@top25% score significantly higher than a naive attack baseline. We show that our membership attack also provides a good insight of whether attribute inference will work (with a precision of 90% instead of 78% in the genral case).

연구 동기 및 목표

  • 의료, IoT, 금융 등 분야에서 딥 러닝 기반 시간 시계열 보간의 프라이버시 위험성을 고찰한다.
  • 메모리에 의한 memorization을 탐지하기 위해 참조 모델을 사용한 새로운 블랙박스 멤버십 추론 공격(LBRM)을 제안한다.
  • 마스킹된 시간 창 내의 구조적 특징(피크)을 복구하기 위한 속성 추론 공격(AIA)을 개발한다.
  • 여러 아키텍처에서 MIA 신호와 AIA 효과 사이의 상관관계를 입증한다.
  • 처음부터 학습된 모델과 공개 데이터로 세밀 조정된 모델 두 시나리오에서 공격을 평가한다.

제안 방법

  • 대상 모델과 참조 모델을 정의하고 Dynamic Time Warping (DTW)을 사용해 재구성 오차를 계산한다.
  • 대상 모델의 성능에 맞춰 매칭된 참조 모델을 사용해 L_T(x)/L_R(x)인 손실 비를 통해 memorization을 드러낸다.
  • 공개 데이터/비공개 데이터 분할에서 학습된 두 시나리오(개인 데이터로 학습된 모델과 공개 데이터로부터 미세 조정된 모델)에서 공격을 학습한다.
  • 손실 비율 기반의 공격을 보완하기 위해 슬라이딩 윈도 프로토콜과 연속 웨이블릿 변환(CWT)-기반 피크 검출기를 이용해 누락된 윈도우 내 피크를 찾는다.
  • SAITS, Transformer, iTransformer(주의 집중 기반) 및 Autoencoder 아키텍처를 공개/비공개 데이터 분할로 평가한다.
  • LBRM을 순진한 손실 기준선과 비교해 AUROC 및 낮은 FPR의 TPR, 상위 사분위 샘플에서의 이득을 보여준다.

실험 결과

연구 질문

  • RQ1참조 모델 기반 MIA(LBRM)가 흑박스 접근에서 시간 시계열 보간 모델의 memorization을 얼마나 신뢰성 있게 탐지할 수 있는가?
  • RQ2 memorization(MIA)와 마스킹된 시간 창에서 구조적 속성(AIA)을 추론하는 능력 사이에 측정 가능한 연관성이 있는가?
  • RQ3LBRM 공격이 주의 집중 기반 및 오토인코더 같은 다양한 보간 아키텍처와 scratch 대 fine-tuning 상황에서 일반화되는가?
  • RQ4참조 모델 사용이 공격 성능에 미치는 영향은 손실만 기반 기준선 대비 어떤 차이가 있는가?
  • RQ5제안된 AIA가 마스킹된 구간 내 피크를 탐지하는 성능은 어떠하며 이것이 MIA의 성공과 어떤 상관관계를 보이는가?

주요 결과

  • LBRM은 SAITS, Transformer, iTransformer, AE 등 다양한 아키텍처에서 순진한 손실 기준선에 비해 멤버십 탐지를 크게 향상시킨다.
  • 시나리오 전반에 걸쳐 LBRM은 AUROC가 높고 낮은 FPR에서의 TPR이 높으며 상위-사분위 샘플에서 강한 memorization 신호를 시사한다.
  • AIA는 재구성 행태를 활용해 마스킹된 윈도우 내 피크의 존재와 위치를 식별할 수 있으며 그 효과는 MIA 성능과 상관된다.
  • 평가된 아키텍처 전반에 걸쳐 모델의 memorization 경향(MIA)과 구조적 속성(AIA)의 누출 간에 강한 실증적 관계가 존재한다.
  • Memorization에 의해 이끄는 누출은 scratch와 fine-tuning 위협 모델 모두에서 지속되며, 시간 시계열 보간에서의 광범위한 프라이버시 위험을 강조한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.