| Item type |
Symposium(1) |
| 公開日 |
2023-10-23 |
| タイトル |
|
|
タイトル |
モデル反転攻撃における再構築画像の実験的精度評価 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Experimental Accuracy Evaluation of Reconstructed Images in Model Inversion Attacks |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
深層学習,モデル反転攻撃,GAN,pix2pix |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
九州大学大学院システム情報科学府 |
| 著者所属 |
|
|
|
九州大学大学院システム情報科学府 |
| 著者所属 |
|
|
|
九州大学大学院システム情報科学研究院 |
| 著者所属 |
|
|
|
九州大学大学院システム情報科学研究院 |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Information Science and Electrical Engineering, Kyushu University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Information Science and Electrical Engineering, Kyushu University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School and Faculty of Information Science and Electrical Engineering, Kyushu University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School and Faculty of Information Science and Electrical Engineering, Kyushu University |
| 著者名 |
村田, 壱生
田口, 魁人
顧, 玉杰
櫻井, 幸一
|
| 著者名(英) |
Issei, Murata
Kaito, Taguchi
Yujie, Gu
Kouichi, Sakurai
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
深層学習の利活用が注目される現在,AI によるプライバシー侵害も深刻な課題である.個人の顔写 真を学習データとした AI モデルからは,その個人の顔写真を抽出できる可能性があり,結果として個人が 誰であるかまで漏洩する危険性も指摘されている. 本研究では,画像分類モデル対するモデル反転攻撃を扱う.これは,反転 (Inversion) という言葉の通り, モデルの入力と出力を反転 (逆転) させる工程により画像を再構築する攻撃である.Fredrikson らの実験で は AT&T Face を用い,再構築画像を視認により評価したが,我々は同様のデータセットを学習した別モ デルにおける分類確率を算出することで定量的 (客観的) 評価を行った.結果として,正しいラベルへの分 類確率は 3 − 15% で相対的には分類可能であることが分かった. また,再構築画像としてより鮮明なものを得る既存研究として Yuheng らが提案した生成的モデル反転攻 撃が挙げられる.Yuheng らの実験では,初期画像がぼやけた・マスク画像の場合は 70%前後で,単色の 初期画像の場合は 50%前後であった.これに対して我々は,GAN としては pix2pix を用いてモデル反転 攻撃で得た再構築画像をより元データに近づけるための実装を導入した.結果として,得られた画像が正 しいラベルへの分類確率は我々が生成した別モデルにおいては 80%以上であるこが実験により判明した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
With the current focus on the use of deep learning, the invasion of privacy by AI is also a serious issue. AI models that use a person’s face as training data may be able to extract the person’s face, and as a result, there is a risk that the identity of the person may be leaked. This study deals with model inversion attacks against image classification models. As the word ”inversion” suggests, this attack reconstructs images by inverting (reversing) the input and output of the model. Fredrik- son et al. evaluated the reconstructed images by visual inspection using AT&T Face, and we performed a quantitative (objective) evaluation by calculating the classification probability in another model trained on a similar data set. The results showed that classification to the correct label was relatively possible with a classification probability of 3 15%. Existing studies that obtain clearer as reconstructed images include the generative model inversion attack proposed by Yuheng et al. In Yuheng et al.’s experiment, the initial image was around 70% when the initial image was blurred or masked, and around 50% when there was Single-color initial image. In contrast, we introduced an implementation that uses pix2pix as the GAN to make the reconstructed image obtained by the model inversion attack closer to the original data. The results show that the probability of classifying the resulting image to the correct label is more than 80% for the another model we generated. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2023論文集
p. 1181-1186,
発行日 2023-10-23
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSS2023161.pdf (455.2 kB)
