メンバーシップ推測攻撃のリスクを評価する
近所攻撃がトレーニングデータを明らかにする効果についての研究。
― 1 分で読む
メンバーシップ推測攻撃(MIA)は、特定の情報が機械学習モデルのトレーニングに使われたかどうかを知ろうとするサイバー脅威の一種だよ。これらの攻撃は、テキストを生成したり分析したりするシステムである言語モデルに関するプライバシーリスクを理解することに焦点を当ててる。多くの現在の攻撃は、モデルが新しいデータや外部データと比較して、トレーニングに使ったデータに対して高いスコアを出すという考えに基づいている。でも、スコアだけを見ても、データポイントの複雑さやシンプルさを考慮しないから、多くの間違いを招くことがあるんだ。
最近の進展の一つは、リファレンスモデルを使うことだよ。これは、似たデータで訓練された別のモデルなんだ。ターゲットモデルのスコアとリファレンスモデルのスコアを比較することで、MIAのパフォーマンスを向上させることができる。ただし、この方法を使うには、攻撃者がオリジナルのトレーニングデータに非常に似たデータにアクセスできると仮定しなければならないから、リアルには難しいこともある。
この研究では、これらの攻撃が実際の状況でどれほど効果的かを調査していて、リファレンスモデルのトレーニングデータの種類によって簡単に影響を受けることがわかった。これに対する保護があるかどうかを見るために、新しいタイプの攻撃「ネイバーフッド攻撃」が提案されている。このアプローチは、ターゲットサンプルのスコアと、少し変更された類似のテキストのスコアを比較することで、オリジナルのトレーニングデータにアクセスする必要をなくしている。結果として、ネイバーフッド攻撃は、トレーニングデータを完璧に知っているリファレンスベースの攻撃と競争できるだけでなく、リファレンスデータを持たない既存の攻撃よりも優れていることが示されていて、これらの攻撃の理解を再評価する必要があることを示唆している。
敏感な情報でトレーニングされた機械学習モデルの公開は、深刻なプライバシーの懸念を引き起こす。埋め込みモデルは個人情報を漏洩する可能性があるし、生成言語モデルはトレーニングデータから正確な文を再生することができ、名前や連絡先などの敏感な情報を明らかにするかもしれない。メンバーシップ推測攻撃は、攻撃者が特定のデータがモデルのトレーニングセットの一部であるかどうかを判断できるようにし、より高度な攻撃につながる可能性があるんだ。
ネイバーフッド攻撃の基本的な考えは、ターゲットの文に非常に似た近くの文を生成することだよ。ターゲットと近くのサンプルの損失を比較することで、そのターゲットデータがトレーニングデータの一部であるかどうかを特定できる。ターゲットデータのスコアがずっと良ければ、それはトレーニングセットに含まれていた可能性が高いってことだね。
従来のLOSS攻撃、つまり初期のメンバーシップ推測攻撃は、サンプルを損失値に基づいてトレーニングデータのメンバーとして分類するんだけど、この方法は多くの非メンバーを特定するのにはうまく機能するけど、プライバシーリスクの主な懸念である実際のトレーニングメンバーを特定するのは難しいんだ。
シンプルな損失評価の問題を解決するために、より効果的なアプローチ「難易度キャリブレーション」が導入されている。この方法は、データサンプルの複雑さを他のサンプルと比較して考慮し、その損失を調整してからしきい値と比較するんだ。Likelihood Ratio Attacks(LiRAs)、この戦略の人気の形は、リファレンスモデルを使ってターゲットポイントの難易度を決定するけど、攻撃者がトレーニングデータについて十分な情報を持っていると仮定することが多いんだ。
ネイバーフッド攻撃のユニークな特徴は、外部データを必要としないことだよ。代わりに、簡単な単語の置き換えを通じて隣接サンプルを生成し、これらの新しい文が意味や構造が元の文と近いままにする。こうすることで、ターゲットサンプルのスコアが隣接するサンプルよりもかなり高いかどうかを評価できて、過剰適合のためにトレーニングメンバーである可能性が高いっていうことを示しているんだ。
広範な実験が行われて、ネイバーフッド攻撃の効果を測定し、他の攻撃方法との比較が行われた。結果は、ネイバーフッド攻撃が伝統的な方法よりも優れた性能を発揮することを示していて、特に現実の条件を考慮に入れた時は、時には100%以上の改善が見られることもあった。
説明した攻撃は、敵が不明なデータセットでトレーニングされた機械学習モデルへのアクセスが限られている標準的なセットアップに従っている。モデルからスコアを取得できるけど、モデルの重みなどの詳細にはアクセスできない。目標は、与えられたサンプルがトレーニングデータのメンバーであるかどうかを分類できる攻撃関数を作ることだ。最近のキャリブレーション方法を使用する攻撃は、適切なリファレンスモデルに大きく依存しているから、その成功はこれらのモデルのトレーニングに使われたデータの質によって大きく変わることがあるんだ。
ネイバーフッド攻撃の大きな利点は、隣接サンプルを生成する方法にある。これらのサンプルは、ターゲットサンプルと少し異なるように工夫されていて、でも有効で意味のあるものなんだ。このプロセスでは、文の中のマスクされた単語を予測するためにトレーニングされたマスク言語モデルを使って、適切な置き換えを提案することが重要になってくる。これらの置き換えの確率を調整することで、攻撃は近隣サンプルのセットを作り出すことができる。
隣接サンプルの損失スコアは、元のサンプルと非常に似たものになることが期待されるけど、ターゲットサンプルの損失スコアがずっと低い場合、トレーニングデータの一部である可能性を示している。最終的な目標は、元のサンプルの意図を変えずに隣接サンプルを作ることだね。
実験では、ニュース記事やツイートなどのデータセットを使ってネイバーフッド攻撃の効果を評価した。その結果、ネイバーフッド攻撃は、理想的なトレーニングデータにアクセスできた場合でも、従来のリファレンスベースの攻撃よりも一貫して優れた結果を示した。
異なる攻撃のパフォーマンスを慎重に観察して、特に低い偽陽性率での真陽性率に焦点を当てた。従来のLOSS攻撃は弱いパフォーマンスを示したけど、LiRAメソッドはより良い結果を出したけど、使用するリファレンスモデルの質に大きく依存していたんだ。
メンバーシップ推測攻撃がどれほど効果的かを分析した結果、ネイバーフッド攻撃が多くのリファレンスベースの技術を上回ることができることがわかった、特にデータの可用性やモデルのパフォーマンスについてより現実的な仮定が考慮された場合に。
実験では、比較に使う隣接の数や単語の置き換えの数を変えることが攻撃の結果にどのように影響するかも調べた。一般的に、より多くの隣接を使用することでパフォーマンスが向上し、単語を一つだけ置き換えることで、複数の置き換えよりも良い結果が得られることがわかった。
この研究では、ネイバーフッド攻撃に対する可能な防御策も検討していて、信頼度スコアを変更したり、トレーニング中に差分プライバシーを使用するアプローチが有効であることが示された。
要するに、メンバーシップ推測攻撃を理解することは、敏感なデータのプライバシー保護の進展において重要だよ。これらのモデルがさまざまなアプリケーションでますます使用されるにつれて、効果的な防御の必要性が明らかになる。研究はこの分野で続けていく必要があり、特にテキストだけでなく、さまざまなデータタイプにわたってこれらの攻撃手法を適用する方法を探ることが求められるんだ。
発見は機械学習のリスクやプライバシー侵害の可能性を強調しているけど、これらの脆弱性を探ることと、それに対する保護を理解することのバランスを取ることが重要なんだ。このバランスは、テクノロジーが安全で責任を持って使用できるようにしながら、人工知能の分野を進めるために不可欠だよ。
タイトル: Membership Inference Attacks against Language Models via Neighbourhood Comparison
概要: Membership Inference attacks (MIAs) aim to predict whether a data sample was present in the training data of a machine learning model or not, and are widely used for assessing the privacy risks of language models. Most existing attacks rely on the observation that models tend to assign higher probabilities to their training samples than non-training points. However, simple thresholding of the model score in isolation tends to lead to high false-positive rates as it does not account for the intrinsic complexity of a sample. Recent work has demonstrated that reference-based attacks which compare model scores to those obtained from a reference model trained on similar data can substantially improve the performance of MIAs. However, in order to train reference models, attacks of this kind make the strong and arguably unrealistic assumption that an adversary has access to samples closely resembling the original training data. Therefore, we investigate their performance in more realistic scenarios and find that they are highly fragile in relation to the data distribution used to train reference models. To investigate whether this fragility provides a layer of safety, we propose and evaluate neighbourhood attacks, which compare model scores for a given sample to scores of synthetically generated neighbour texts and therefore eliminate the need for access to the training data distribution. We show that, in addition to being competitive with reference-based attacks that have perfect knowledge about the training data distribution, our attack clearly outperforms existing reference-free attacks as well as reference-based attacks with imperfect knowledge, which demonstrates the need for a reevaluation of the threat model of adversarial attacks.
著者: Justus Mattern, Fatemehsadat Mireshghallah, Zhijing Jin, Bernhard Schölkopf, Mrinmaya Sachan, Taylor Berg-Kirkpatrick
最終更新: 2023-08-07 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2305.18462
ソースPDF: https://arxiv.org/pdf/2305.18462
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。
参照リンク
- https://www.latex-project.org/help/documentation/encguide.pdf
- https://groups.di.unipi.it/~gulli/AG_corpus_of_news_articles.html
- https://github.com/kotartemiy/topic-labeled-news-dataset
- https://www.kaggle.com/datasets/infamouscoder/mental-health-social-media
- https://www.kaggle.com/datasets/mrmorj/hate-speech-and-offensive-language-dataset