Membership Inference Attacks with False Discovery Rate Control
2508.07066v1
stat.ML, cs.CV, cs.LG
2025-08-13
Авторы:
Chenxu Zhao, Wei Qian, Aobo Chen, Mengdi Huai
Резюме на русском
## Контекст
В последнее время глубокие нейронные сети приобрели широкое применение в различных областях, однако они также остаются уязвимыми к различным атакам, в том числе членству. Членствующие (membership) информационные атаки (Membership Inference Attacks, MIAs) стремятся определить, был ли конкретный объект использован в ходе обучения целевой модели. Эти атаки представляют собой серьезную угрозу для приватности данных и могут привести к использованию персональных данных без согласия.
Несмотря на активность исследователей в области MIAs, существуют ограничения в обеспечении контроля за выводом ложноположительных результатов (false discovery rate, FDR). Это ограничение связано с неизвестностью основных распределений данных и сложностью учета зависимости между нейронными сетями. Мотивируясь этим, данная работа предлагает новую модель MIAs, которая обеспечивает контроль за FDR и повышает надежность результатов.
## Метод
Метод предлагаемой работы основывается на построении модели, которая может не только определять членство, но и контролировать FDR. Метод заключается в том, чтобы учесть зависимости между нейронными сетями, применяя методы статистического анализа для оценки ложноположительных результатов.
Была разработана архитектура, которая включает в себя несколько этапов:
1. Инициализация модели, учитывающая FDR-гарантии.
2. Оптимизация модели для повышения точности в определении членства.
3. Интеграция существующих MIA-методов с помощью пост-хок-модели, которая позволяет управлять FDR в реальном времени.
Таким образом, разработанная модель может быть интегрирована с различными MIA-методами, обеспечивая управление FDR без изменения основной архитектуры.
## Результаты
Работа содержит исследовательские эксперименты, проведенные в различных условиях, включая black-box-и lifelong-настройки. Данные для экспериментов были получены из различных наборов данных, таких как CIFAR-10 и CIFAR-100, чтобы проверить работу модели в различных условиях.
Результаты показали, что модель обеспечивает высокую точность в определении членства, при этом контролируя FDR на уровне, заданном пользователем. На основе этих результатов было показано, что разработанная модель может быть эффективно использована для улучшения надежности MIAs, уменьшения риска ложноположительных результатов и увеличения доверия к результатам.
## Значимость
Предлагаемая модель имеет широкие возможности применения в различных областях, где необходимо обеспечить конфиденциальность данных и контролировать риск ложноположительных результатов. Особенно она может быть полезна для приложений в сфере медицины, финансов и защиты личных данных, где необходимо обеспе
Abstract
Recent studies have shown that deep learning models are vulnerable to
membership inference attacks (MIAs), which aim to infer whether a data record
was used to train a target model or not. To analyze and study these
vulnerabilities, various MIA methods have been proposed. Despite the
significance and popularity of MIAs, existing works on MIAs are limited in
providing guarantees on the false discovery rate (FDR), which refers to the
expected proportion of false discoveries among the identified positive
discoveries. However, it is very challenging to ensure the false discovery rate
guarantees, because the underlying distribution is usually unknown, and the
estimated non-member probabilities often exhibit interdependence. To tackle the
above challenges, in this paper, we design a novel membership inference attack
method, which can provide the guarantees on the false discovery rate.
Additionally, we show that our method can also provide the marginal probability
guarantee on labeling true non-member data as member data. Notably, our method
can work as a wrapper that can be seamlessly integrated with existing MIA
methods in a post-hoc manner, while also providing the FDR control. We perform
the theoretical analysis for our method. Extensive experiments in various
settings (e.g., the black-box setting and the lifelong learning setting) are
also conducted to verify the desirable performance of our method.
Ссылки и действия
Дополнительные ресурсы: