2021年12月
DP-FP: Differentially Private Forward Propagation for Large Models
DP-SGDに代わる手法としてDP Forward-Propagation(DP-FP)を提案.学習の際,入力データの推論結果をクリッピングして,それにガウシアンノイズを付加.従来の手法より精度がよく通常の学習モデルに近い精度が得られた.https://arxiv.org/abs/2112.14430
Gradient Leakage Attack Resilient Deep LearningGradient Leakage
攻撃に体制のある深層学習の研究.まず,固定されたパラメータのノイズを用いたDPSGDでは精度も低く,GL攻撃に脆弱であることを示す.これに対して,動的にノイズの分散を変えていく手法を提案した.https://arxiv.org/abs/2112.13178
DP-UTIL: Comprehensive Utility Analysis of Differential Privacy in Machine Learning
MLのDP適用については「入力摂動」「目的関数摂動」「勾配摂動」「出力摂動」「予測摂動」などの方法があるが,MLのpipeline全体にわたる効用分析フレームワークDP-UTILを提案.ケーススタディとして,ロジスティック回帰,DNNに対してMembership推論攻撃を行い評価した.https://arxiv.org/abs/2112.12998
Task and Model Agnostic Adversarial Attack on Graph Neural Networks
モデルやタスクによらないGNNに対するAdversarial Exampleによる攻撃GRAND(Graph Attack via Neighborhood Distortion)を提案.Graph Isomorphism Networkと深層Q-learningを用いて効果的にノイズを作成する.https://arxiv.org/abs/2112.13267
Exploring the Security Boundary of Data Reconstruction via Neuron Exclusivity Analysis
ReLU NNに対するデータ再構成攻撃の研究.ExANs(バッチ内の1つのサンプルによってのみ活性化されるReLUユニット)という概念を提唱し,ExANsの量で攻撃への脆弱性が測れることを示した.安全境界内にある訓練バッチに対しては、一意的な再構成が不可能であることも証明.https://arxiv.org/abs/2010.13356
Catch Me If You GAN: Using Artificial Intelligence for Fake Log Generation
GANを使ってレッドチームのシステム管理者を欺くログの作成を試みた. SeqGAN,MaliGAN,Cooperative Trainingという3種類のGANを試したが,いいものはできなかった.https://arxiv.org/abs/2112.12006
TFDPM: Attack detection for cyber-physical systems with diffusion probabilistic models
サイバーフィジカルシステム(CPS)のデータ駆動型攻撃検知の提案.異なるチャネル間のデータをGNNを用いて明示化.その上でデータ分布の学習に,関数形に対する制約が少ないエネルギーベースの生成モデルであるdiffusion modelを用いた手法を提案した.https://arxiv.org/abs/2112.10774
Benchmarking Differentially Private Synthetic Data Generation Algorithms
テーブル形式のデータに対する差分プライベートな合成データ生成の系統的なベンチマークを提示した.個人の属性の分布,属性の相関,ML分類モデルの精度などで有用性を評価.12種類の手法を比較している.https://arxiv.org/abs/2112.09238
Model Stealing Attacks Against Inductive Graph Neural Networks
inductiveなGNNへのmodel stealing攻撃の提案.従来の攻撃はtransductiveなGNNへの攻撃では,攻撃者が被害者の持つグラフの(部分)情報を知っていることを想定していて現実的ではないため,未知のデータにも汎化できるinductiveなGNNに対する攻撃を提案した.https://arxiv.org/abs/2112.08331
MuxLink: Circumventing Learning-Resilient MUX-Locking Using Graph Neural Network-based Link Prediction
Logic lockingに対する機械学習ベースの攻撃があったが,グラフニューラルネットワークを用いて従来より強力な攻撃を提案した.難読化されていない部分の回路の構造を学習することで秘密情報に関わる情報を推定した.https://arxiv.org/abs/2112.07178
MedAttacker: Exploring Black-Box Adversarial Attacks on Risk Prediction Models in Healthcare
電子健康データ(electronic health records,EHR)から健康リスクを予測するDNNに対するblackbox設定でのAdversarial AttackをするMedAttackerの提案.強化学習を用いて,系列データであるEHRの攻撃対象箇所を選択.実験ではwhiteboxの攻撃も超える性能が出る場合もあった.https://arxiv.org/abs/2112.06063
A Note on the Post-Quantum Security of (Ring) Signatures
量子世界における署名の検討.通常の署名に関しては,blind-unforgeabilityという安全性に注目し,2種類の署名方式を提案.リング署名に関しては,Chatterjee(Crypto'21)らの定義の弱いところを避けたblind-unforgeabilityのアナログとなる安全性の定義を提案した.https://arxiv.org/abs/2112.06078
Preemptive Image Robustification for Protecting Users against Man-in-the-Middle Adversarial Attacks
ユーザがウェブサービスに送った画像にadversarial noiseをこっそりつけることで,ユーザが不当な画像(例えばポルノ)を送ったと誤認させる中間者攻撃的なAdversarial Exampleの対策の研究.AEに頑健な元画像の近傍点を探す.https://arxiv.org/abs/2112.05634
OPTT: Optimal Piecewise Transformation Technique for Analyzing Numerical Data under Local Differential Privacy
local差分プライバシー下での数値解析で用いるpiecewise transformation(PTT)の理論的な研究.(1)平均値の不偏推定量を得るためには多くのPTTは最適,(2)理論的に最低の分散を達成するPTTがあることを示した.https://arxiv.org/abs/2112.04745
Iterative Methods for Private Synthetic Data: Unifying Framework and New Methods
クエリリリースのためのプライベートな合成データ生成の提案.目的は種々の統計的クエリへの有用性維持.2つの手法を提案.private entropy projectionというクエリ結果を適用的に再利用する手法.もう一つはNNをもちいて計算量的な課題を解決した手法である.https://arxiv.org/abs/2106.07153
On the effect of normalization layers on Differentially Private training of deep Neural networks
正規化層がDP-SGDの性能に与える影響を研究した.正規化層が有用性に与える影響を評価し,バッチノーマライゼーションをDP-SGDに組み込み,追加のプライバシー損失を加えることなく有用性をあげる手法の提案.https://arxiv.org/abs/2006.10919
On the effect of normalization layers on Differentially Private training of deep Neural networks
Model Stealing攻撃の対策.訓練データに対して,style transferを用いてから学習させることで,外的な特徴を埋め込む.そして,盗まれたものかどうかを判定するメタ学習器を作り,盗まれたものかどうか判定する.https://arxiv.org/abs/2006.10919
Membership Inference Attacks From First Principles
Membership推論攻撃はfalse-positive率が低い場合のtrue-positive率で評価するべきだと主張.この考え方に基づくと先行研究は性能が低いことを発見.さらにこの考え方に基づいたとき強い尤度比を用いた攻撃を提案した.https://arxiv.org/abs/2112.03570
Lightning: Striking the Secure Isolation on GPU Clouds with Transient Hardware Faults
Lightning attackというGPUチップへのfault攻撃の提案.DNNは誤差にロバストで耐故障性があるたえめ,より精度の高い故障注入を検討した.https://arxiv.org/abs/2112.03662
Safe Distillation Box
Safe Distillation Boxという認可したユーザのみに知識蒸留しやすいフレームワークの提案.特定のKeyをクエリ前の画像に付け加えてからクエリを投げると,知識蒸留に用いやすい入出力ペアが得られるようなNN設計.https://arxiv.org/abs/2112.03695
2021年11月
Membership Inference Attacks Against Self-supervised Speech Models
self-supervised learningを音声処理タスクモデルへのMembership Inference攻撃を行った.https://arxiv.org/abs/2111.05113
A bounded-noise mechanism for differential privacy
センシティビティが定数のクエリに対する有界なノイズを加える差分プライベートなアルゴリズムの提案.ガウシアンメカニズムより良いことを理論的に示したらしい.https://arxiv.org/abs/2012.03817
Tight Bounds for Differentially Private Anonymized Histograms
差分プライベートなヒストグラム開示において,期待L1誤差のオーダー保証付きのアルゴリズムを提示した.https://arxiv.org/abs/2111.03257
Adversarial Attacks on Graph Classification via Bayesian Optimisation
GNNに対するAdversarial Exampleを用いが攻撃は提案されているが多くはノード分類のタスクを行うモデルに対するものである.しかし,生化学やSNS分析などで重要なグラフ分類に対してはwhiteboxのものしか行われていないため,ベイズ最適化を用いたblackbox攻撃を提案する.https://arxiv.org/abs/2111.02842
Safe and Practical GPU Acceleration in TrustZone
TrustZone TEEではGPU計算のためのデザインを提示しているが,シンプルな手法であった.CODYというセキュリティ強度が高く,多様なモバイルGPUへの対応できる記憶環境をもつ新しいアーキテクチャを提案した.モバイルGPUデバイスとクラウドサービスが協調・分散的に実行する.https://arxiv.org/abs/2111.03065
Graph Structural Attack by Perturbing Spectral Distance
グラフ畳み込みネットワーク(GCN)に対するAdversarial Exampleの生成に関する論文.フーリエ領域のグラフ・スペクトル・フィルターに攻撃するためのグラフのラプラシアンの固有値を用いてスペクトル距離を定義.それを最大化するエッジの摂動を生成する.https://arxiv.org/abs/2111.00684
Knowledge Cross-Distillation for Membership Privacy
Membership Inference攻撃への防御として,知識蒸留を用いた手法が提案されている.しかし,これは大量のラベルなし公開データを必要とするか,モデル精度と引き換えに生成モデルを用いてデータフリーに行うしかない.これをうけ,新しい知識蒸留ベースのMIA対策を提案した.https://arxiv.org/abs/2111.01363
Don't Generate Me: Training Differentially Private Generative Models with Sinkhorn Divergence
差分プライベートな合成データ生成について,最適輸送ベースの生成手法を提案.Sinkhorn Divergenceを差分プライベートに最小化するDP-Sinkhornの提案.既存手法と異なり最適化の難しいadversarial objectivesに依存しない.https://arxiv.org/abs/2111.01177
E-DPNCT: An Enhanced Attack Resilient Differential Privacy Model For Smart Grids Using Split Noise Cancellation
スマートグリッドにおけるエネルギー利用データの収集を差分プライベートにしたDPNCTの提案.共謀攻撃からの保護を強化した拡張DPNCTも提案した.EPICモデルやBarbosa Differentialy Privateモデルと実験で攻撃耐性を比較した.https://arxiv.org/abs/2110.11091
The supersingular isogeny path and endomorphism ring problems are equivalent
generalised Riemann hypothesisを仮定すると「ℓ-isogenyグラフの経路探索問題」と「supersingularな楕円曲線の自己準同型環の問題」が多項式期待時間の帰着の下で等価であることを示した.https://arxiv.org/abs/2111.01481
Antipodes of Label Differential Privacy: PATE and ALIBI
学習モデルが学習例のラベルに関して差分プライバシーを満たすような設定での研究.既存手法はRandomized Responseなどが用いられていたが,ベイズ推論を組み合わせたLaplaceメカニズムとPATEのフレームワークを適応した手法を提案した.https://arxiv.org/abs/2106.03408
Dynamic Differential-Privacy Preserving SGD
DP-SGDにおいて,一様な値で勾配ノルムをクリッピングしてしまうことは出来上がるモデルの悪影響をもたらす.Gaussian DP central limit theoremを拡張し,個々のステップで最適なクリッピング値とノイズのパワーを決定するDynamic DP-SGDを提案した.https://arxiv.org/abs/2111.00173
You are caught stealing my winning lottery ticket! Making a lottery ticket claim its ownership
宝くじ仮説に基づいて発見された疎なサブネットワーク(当選券)はその探索にコストがかかるため所有権を保護するフレームワークを提案.極めて疎な当選券は特別な保護がなくても部分的に所有権を主張できることを示し,性能を大きく落とすことなく埋め込める署名を提案した.https://arxiv.org/abs/2111.00162
Combining Public and Private Data
統計量を公開する設定で,公開データと非公開データを組み合わせた場合の分散を最小化する差分プライバシーメカニズムの提案.https://arxiv.org/abs/2111.00115
Optimal Compression of Locally Differentially Private Mechanisms
Local差分プライバシーでは,共有されたランダム性を用いた圧縮をすると効率がよくなる.Minimal Random Coding (Havasi et al., 2019)に基づく手法がプライバシー-精度-通信効率のトレードオフにおいて最適であることを示す.https://arxiv.org/abs/2111.00092
RedCASTLE: Practically Applicable ks-Anonymity for IoT Streaming Data at the Edge in Node-RED
静的データを前提としているk匿名化を,ストリーミングデータ向けに拡張したks匿名化に基づくCASTLEアルゴリズムというものがあるが,これをIoTの設定に拡張したRedCASTLEを提案.エッジベースIoT開発のための視覚的な開発ツールNode-REDでks匿名化ができる.https://arxiv.org/abs/2110.15650
The Skellam Mechanism for Differentially Private Federated Learning
独立した2つのPoisson確率変数の差に基づく離散的な差分プライバシーメカニズムである多次元Skellamメカニズムを,通信制約のある中でのfederated learningの文脈で検討.Skellamメカニズムが連続的なガウスメカニズムと同等のトレードオフを満たすと示した.https://arxiv.org/abs/2110.04995
2021年10月
An Uncertainty Principle is a Price of Privacy-Preserving Microdata
差分プライベートなシステムに対して「合計などを返すクエリ」と「ミクロデータを開示するクエリ」の間のトレードオフをある不確実性原理が支配することを示した.また後者の場合その分,想定されるノイズ誤差が増えてしまうが,そういったもの下界を色々なDPに対して示した.https://arxiv.org/abs/2110.13239
Federated Learning with Heterogeneous Differential Privacy
FLにDPを適用するとモデルの精度が劣化するが,希望するクライアントはDPを用いないことを選択できる異種混合のDP設定,Opt-Out DP(FeO2)を提案.数値実験では,ベースラインのDP FLと比較して、FeO2は最大で9.27%の性能向上を実現することを示した.https://arxiv.org/abs/2110.15252
Differentially Private Federated Bayesian Optimization with Distributed Exploration
ベイズ最適化はFederated Thompson SamplingアルゴリズムによってFLの設定に拡張され,連合型ハイパラチューニングなどの応用が期待されているが,プライバシーの観点はまだないため,DPをFTSに統合した.さらに有用性向上のため,分散探索を組み込みこんだDP-FTS-DEを提案.https://arxiv.org/abs/2110.14153
Relaxed Marginal Consistency for Differentially Private Query Answering
差分プライベートな出力からノイズを減らす再構成において,Private-PGMというグラフィカルモデルを使った手法がある.しかし,これは測定値がスパースな場合はスケーラビリティを持つが,密だとうまくいかない場合がある.これを改善した.https://arxiv.org/abs/2109.06153
PRECAD: Privacy-Preserving and Robust Federated Learning via Crypto-Aided Differential Privacy
Federated Learningにおいて,プライバシー保護とPoisoning攻撃対策の両方を取り入れた方式,PRECADを提案した.差分プライバシーを満たすためのノイズが,Poisoningに対しても堅牢になっていることを解析的に示した.https://arxiv.org/abs/2110.11578
Differentially Private Coordinate Descent for Composite Empirical Risk Minimization
新しいDifferentially Private Empirical Risk Minimizationとして,Differentially Private proximal Coordinate Descent (DP-CD)を提案した.いくつかの領域で,DP-SGDより高い有用性を確認した.https://arxiv.org/abs/2110.11688
Locally Differentially Private Reinforcement Learning for Linear Mixture Markov Decision Processes
線形関数近似とlocal差分プライバシーを保証する強化学習(Markov decision processesの学習)の提案.推薦システムに従うウェブページ閲覧などのユースケースがある.https://arxiv.org/abs/2110.10133
Model-Agnostic Meta-Attack: Towards Reliable Evaluation of Adversarial Robustness
DNNに対するAdversarial Exampleによる攻撃において,より強い攻撃アルゴリズムを自動的に発見するModel-Agostic Meta-Attack (MAMA)の提案.最適な攻撃(サンプルの流れ)をRNNで学習する.http://arxiv.org/abs/2110.08256
Mitigating Membership Inference Attacks by Self-Distillation Through a Novel Ensemble Architecture
実用性を維持しつつ高いmembership攻撃耐性をもつMLモデルの学習.DPではなく経験的なmembership攻撃耐性を目指す.Split-AIという学習データを分割してアンサンブルする手法(これだけでは適応的攻撃に脆弱だと証明)に加え,Split-AIたちを用いたSelf-Distillationを行う.https://arxiv.org/abs/2110.08324
Noise-Augmented Privacy-Preserving Empirical Risk Minimization with Dual-purpose Regularizer and Privacy Budget Retrieval and Recycling
Empirical Risk Minimizationをプライバシー保護付きで解く手法,NAPP-ERMの対応.既存手法は強凸性獲得のために過剰な正則化を受ける恐れがある.NAPP-ERMでは,拡張データによるターゲット正則化を反復的に行うことで過剰正則化を緩和.最適なプライバシー予算計画も提案.https://arxiv.org/abs/2110.08676
DPNAS: Neural Architecture Search for Deep Learning with Differential Privacy
差分プライベートなNAS,DPNASの提案.モデルの探索空間とかを上手に選び,DPを満たしながら学習を進める手法で,実験を通して提案手法の有効性を経験的に示した.https://arxiv.org/abs/2110.08557
Multivariate Mean Comparison under Differential Privacy
プライバシー保護の観点から,研究者が元データの外れ値などを隠すことを課題とし,それに対して差分プライバシーを保証する多変量平均比較の仮説検定を提案した.検定統計量はHotelling's t^2-statisticに従う統計量でMahalanobis距離の観点から自然な解釈が可能である.https://arxiv.org/abs/2110.07996
The Privacy-preserving Padding Problem: Non-negative Mechanisms for Conservative Answers with Differential Privacy
差分プライバシーで使われるノイズ分布は一般的に対称的なものが好ましいが,片側にゆがんでいる場合の方がよい場合もある.そのようなもので,近似的な差分プライバシーを実現するいくつかのメカニズムを紹介.Private Set Intersectionや秘密計算に適用できることを示した.https://arxiv.org/abs/2110.08177
Don't Knock! Rowhammer at the Backdoor of DNN Models
ハードウェアに実装されたDNNに対するBackdoor攻撃の研究.脆弱なメモリロケーションが非常に稀かつデバイス固有でスパースに分布しているという事実から,制約付き最適化に基づく新しい攻撃を提案.ResNet20の220万ビットのうちわずか10bitを反転させるだけで94%攻撃成功.https://arxiv.org/abs/2110.07683
Mind the Style of Text! Adversarial and Backdoor Attacks Based on Text Style Transfer
NLPモデルに対して,text style transfer(文章の意味を維持しながら文体を変更することを目指す)に基づいたAdversarial Example攻撃やBackdoor攻撃を検討した.https://arxiv.org/abs/2110.07139
Federated Learning for COVID-19 Detection with Generative Adversarial Networks in Edge Cloud Computing
エッジクラウドコンピューティングでGANを用いたリアルなCOVID-19のX線画像を生成するFedGANというスキームを提案.特に各医療機関は差分プライバシーに基づく保護をかけて学習を行い,合意形成はブロックチェーンを用いて行う.https://arxiv.org/abs/2110.07136
DI-AA: An Interpretable White-box Attack for Fooling Deep Neural Networks
ホワイトボックスのAdeverasarial Example攻撃において,Taylor分解による解釈を参考にすることで攻撃力をアップさせたDI-AAの提案.Integrated GradよりTaylor分解の方が余計な場所を活性化していないのでいいらしい.https://arxiv.org/abs/2110.07305
AHEAD: Adaptive Hierarchical Decomposition for Range Query under Local Differential Privacy
既存のLocal DPベースの範囲検索アプローチは事前に設定した構造に従ってデータ収集するが,プライバシー予算が低い場合は特に有用性が落ちる.Adaptive Hierarchical Decomposition (AHEAD)という適応的,動的に木構造を変え,ノイズの量を減らす手法を提案した.https://arxiv.org/abs/2110.07505
Offset-Symmetric Gaussians for Differential Privacy
正規分布よりも尾が小さいoffset-symmetric Gaussian tail分布を用いたプライバシー保護の研究.zCDPの解析的な評価がしやすくなり,十分に大きな集中度オーダーでzCDPの意味でガウシアンメカニズムより良い性能になっている.https://arxiv.org/abs/2110.06412
"I need a better description'': An Investigation Into User Expectations For Differential Privacy
2424人のユーザに対して,差分プライバシーに関する意識調査.調査の結果「ユーザは差分プライバシーで保護される情報漏洩の種類に関心がある」「漏洩のリスクが起こりにくい場合には、個人情報を共有することに積極的である」ことがわかった.https://arxiv.org/abs/2110.06452
Communication-Efficient Triangle Counting under Local Differential Privacy
Local差分プライバシーで保護しながら,推定誤差と通信コストが小さいtriangle countingアルゴリズム(グラフの中の三角形を数える)を提案した.https://arxiv.org/abs/2110.06485
Not all noise is accounted equally: How differentially private learning benefits from large sampling rates
DPSGDはサンプリングノイズとガウシアンノイズの2種類のノイズを計上している.この二つのうち後者の方にプライバシー予算を割いたほうが有用性/プライバシーのトレードオフを向上できるということを示した.https://arxiv.org/abs/2110.06255
Generalization Techniques Empirically Outperform Differential Privacy against Membership Inference
差分プライバシーで深層学習モデルを保護するとモデルの有用性が著しく落ちる.メンバーシップ推論攻撃に対しては,差分プライバシーを用いずとも,学習のearly stoppingなどでより高い有用性・プライバシーが提供できることを実験で明らかにした.https://arxiv.org/abs/2110.05524
Can Stochastic Gradient Langevin Dynamics Provide Differential Privacy for Deep Learning?
Stochastic Gradient Langevin Dynamicsによるベイズ学習は差分プライバシーを保証するが,それは学習初期や収束手前のみで,学習途中に関しては知られていない.収束手前でプライバシー保証されていても,学習途中ではプライバシー漏洩が起きる可能性があることを示した.https://arxiv.org/abs/2110.05057
On the Security Risks of AutoML
Neural Architecture Search(NAS)に対するセキュリティ脅威の調査.一般的な10種類のNASに対して実験により,手動のものよりも,adversarial evasion,model poisoning,functionality stealingなどの攻撃に脆弱なことを示した.https://arxiv.org/abs/2110.06018
Game Theory for Adversarial Attacks and Defenses
Adversarial Exampleを用いた攻撃とその防御をゼロサムの2者間ゲームと考えて,その観点から最適な防御の方針を求めた.https://arxiv.org/abs/2110.06166
Complex-valued Federated Learning with Differential Privacy and MRI Applications
出力を複素数値に拡張した関数に対する差分プライバシー,ζ-DPを提案する.複素ガウシアンメカニズムを提案し,(ε,δ)-DPとRényi-DPの観点から考察.また,DP-SGDの変形であるζ-DP stochastic gradient descent (ζ-DP-SGD)を提案し,複素数値NNの学習を行う.https://arxiv.org/abs/2110.03478
Widen The Backdoor To Let More Attackers In
一つのモデルにBackdoor攻撃を複数の攻撃者が独立で仕掛ける場合もある.そういったmulti-agent backdoor攻撃の研究をした.攻撃者の数が増えると,逆に個々人の攻撃成功率が落ちるということを発見した.https://arxiv.org/abs/2110.04571
Hyperparameter Tuning with Renyi Differential Privacy
ハイパラチューニングで複数回学習を回すことで,訓練データの情報が洩れることへの考察.Renyi Differential Privacyの枠組みでハイパラ探索のプライバシー保証を行う.https://arxiv.org/abs/2110.03620
Provably Efficient Black-Box Action Poisoning Attacks Against Reinforcement Learning
強化学習モデルに対するPoisoning攻撃はその観測や環境に行うことが多いが,本研究ではアクションに嘘を入れられるPoisoning攻撃を行える場合を考察する.攻撃によってモデルは攻撃者が選んだポリシーに従った行動を多くとるようになった.https://arxiv.org/abs/2110.04471
First to Possess His Statistics: Data-Free Model Extraction Attack on Tabular Data
テーブル形式のデータを入力とするモデルへのデータフリーModel Extraction攻撃,TEMPESTの提案.公開されている統計情報を利用して入力例を生成する.医療診断データセットを用いた実験で有効であることを確かめた.https://arxiv.org/abs/2109.14857
Combining Differential Privacy and Byzantine Resilience in Distributed SGD
FLにおけるビザンチン耐性と差分プライバシーの両立について考察.結果としては,(1)ただ組み合わせるだけではうまくいかない,(2)学習アルゴリズムを工夫すれば同時に保証することができる,という2点が得られた.https://arxiv.org/abs/2110.03991
2021年9月
Opacus: User-Friendly Differential Privacy Library in PyTorch
差分プライバシーを実現するオープンソースのPyTorchライブラリ,Opacusの紹介(著者らはFacebook AI).TensorFlow Privacy,PyVacy,BackPack,JAXといった同様のライブラリと性能比較.JAXと同性能らしいが,DP深層学習についてはOpacusの方がシンプルでflexibleとのこと.https://arxiv.org/abs/2109.12298
A Formally Verified Configuration for Hardware Security Modules in the Cloud
ハードウェアセキュリティモジュール(HSM)の安全性検証の研究.HSM用の最も一般的な標準APIであるPKCS#11の最新バージョンは,提案されている攻撃の対処が検討されていない.それらに対応できるHSM configurationを提案し,その安全性をTamarin proverで示した.https://arxiv.org/abs/2109.13631
Unrolling SGD: Understanding Factors Influencing Machine Unlearning
特定のデータポイントを忘れるMachine Unlearningの研究.既存研究を整理し,verification error(近似的unlearningで得た重みとナイーブにデータを抜いて学習し直した重みのL2距離)という指標が重要なことを示す.またその計算しやすい代替指標unlearning errorを提案する.https://arxiv.org/abs/2109.13398
Do I Get the Privacy I Need? Benchmarking Utility in Differential Privacy Libraries
差分プライバシーを実践できるオープンソースライブラリの研究.Google DP,SmartNoise,diffprivlib,diffpriv,Chorusの5つが対象.いくつかのデータで基本的なクエリを実践し評価.どれも同じくらいという結論だが一長一短があるので一番優れたものは決定できなかった.https://arxiv.org/abs/2109.10789
Robin Hood and Matthew Effects: Differential Privacy Has Disparate Impact on Synthetic Data
生成モデルの学習で差分プライバシーがデータ数の少ないクラスデータに与える影響を調査.観点;1) 合成データ中のクラスやサブグループの大きさ,2) それに対する分類精度.PrivBayes, DP-WGAN, PATE-GANを用いて実験を行った.DP合成データの利用には注意が必要という結論.https://arxiv.org/abs/2109.11429
Partial sensitivity analysis in differential privacy
Individual Rényi DPなどは個人ごとのきめ細かなプライバシー計算を可能にするが,個々人の入力特徴が個人のプライバシー損失に与える影響の調査はほとんどない.特徴の貢献を可視化するためにpartial sensitivityという分類関数の勾配ノルムを用いた概念を提案.https://arxiv.org/abs/2109.10582
A unified interpretation of the Gaussian mechanism for differential privacy through the sensitivity index
ガウシアンメカニズムに対して,(ε,δ)-DP,f-DP,Rényi DPという三つの差分プライバシーの概念を統一的に表現できるsensitivity indexという考え方の提案.ガウシアンメカニズムに対する新たな見方,解釈を与えたことになる.https://arxiv.org/abs/2109.10528
A Validated Privacy-Utility Preserving Recommendation System with Local Differential Privacy
ローカルDPを用いた推薦システムの提案.ユーザ個人のpreference profileをブルームフィルターにしてサーバーに送信する際,ノイズを付与する.二種類のRandomized Responseを適用している.XGBoostやNNでクラスタリングすることでデコードする.色々なデータで実験を行った.https://arxiv.org/abs/2109.11340
Adversarial Transfer Attacks With Unknown Data and Class Overlap
通常のtransfer adversarial attackは被害モデルと似た代替モデルを手元に作成して行うが,被害モデルと同等のデータやクラスを仮定するのは現実的ではないと指摘.被害モデルと代替モデルのタスク(入力データ,ラベル)にある程度の重複があるような不完全な設定での研究.https://arxiv.org/abs/2109.11125
An automatic differentiation system for the age of differential privacy
差分プライベートな機械学習のためのsensitivity計算フレームワーク,Tritiumを提案.適用できるのは微分可能なクエリに対するL2-sensitivityのみのようで,Jacobianの計算をしているだけ(?).計算時間,実行時間は従来手法より早い.https://arxiv.org/abs/2109.10573
Partially Encrypted Machine Learning using Functional Encryption
敵対的学習と関数型暗号を組み合わせたデータを部分的に暗号化した状態での推論方法を提案.二次関数を効率的に計算する新しい関数型暗号を提案し,二次活性化関数を持つNNを部分的に暗号化して推論する.機密性の高い特徴を識別しようとする攻撃者に敵対的な最適化を施す.https://arxiv.org/abs/1905.10214
FooBaR: Fault Fooling Backdoor Attack on Neural Network Training
NNの推論段階ではなく,学習段階に故障注入を行い,Backdoorを仕込む,fooling backdoorsという手法の提案.特にReLUの出力を0にしてしまう攻撃を紹介するらしい.https://arxiv.org/abs/2109.11249
Dodging Attack Using Carefully Crafted Natural Makeup
物理的な装置を用いたAdversarial Exampleによる顔認識などのすりぬけは,攻撃者が顔を大きく操作する必要があるので(マスクや電飾など)空港などでは警備員に気づかれてしまう.これをうけて,自然な化粧によって顔認識をすり抜ける手法を研究した.https://arxiv.org/abs/2109.06467
TREATED:Towards Universal Defense against Textual Adversarial Attacks
DNNに対するAdversarial Exampleを用いた攻撃の検知手法TREATEDの提案.攻撃の摂動レベルを特に仮定しないUniversalな検知方法.https://arxiv.org/abs/2109.06176
Understanding Structural Vulnerability in Graph Convolutional Networks
Adversarial Examples耐性のあるGraph Convolutional Networks(GCN)の提案.aggregation schemeをAEにロバストな手法に変えるというシンプルな手法で耐性が上がることを実験的に示した.https://arxiv.org/abs/2108.06280
2-in-1 Accelerator: Enabling Random Precision Switch for Winning Both Adversarial Robustness and Efficiency
DNNアクセラレータの敵対的堅牢性と効率性の両立を目的とした2-in-1 Acceleratorを提案.Random Precision SwitchというDNNのランダムな量子化を用いてAdversarial Exampleへの耐性を付けた.https://arxiv.org/abs/2109.05223
F1: A Fast and Programmable Accelerator for Fully Homomorphic Encryption (Extended Version)
完全同型暗号(FHE)は処理速度に問題ため,F1というプログラマブルな初のFHEアクセラレータを提案した.モジュラー演算、数論的変換、構造化された置換などFHEのプリミティブに深く特化した新しい機能ユニットを備えたプロセッサである.https://arxiv.org/abs/2109.05371
CoG: a Two-View Co-training Framework for Defending Adversarial Attacks on Graph
Adversarial Example耐性のあるGNNの学習方法,CoGを提案した. 特徴観点からと構造観点からのサブモデルを独立で学習させ,最も信頼性の高いラベルなしデータを学習セットに追加することで知識蒸留的にロバストなモデルを作成する.https://arxiv.org/abs/2109.05558
Check Your Other Door! Creating Backdoor Attacks in the Frequency Domain
DNNへのBackdoor攻撃において,画像/ピクセル領域でトリガーを生成するのではなく,周波数領域においてトリガーを生成する手法を提案した.https://arxiv.org/abs/2109.05507
Differentially Private Variable Selection via the Knockoff Filter
false discovery rate (FDR)を制御しながら変数選択をするKnockoff Filterを差分プライベートにした.https://arxiv.org/abs/2109.05402
On the Initial Behavior Monitoring Issues in Federated Learning
FLにおける悪意ある行為を監視する監視プロセスを提案した.https://arxiv.org/abs/2109.05385
R-SNN: An Analysis and Design Methodology for Robustifying Spiking Neural Networks against Adversarial Attacks through Noise Filters for Dynamic Vision Sensors
Spiking Neural Networkに対するAdversarial Examples対策,R-SNNの提案.SNNはDynamic Vision Sensorを搭載したneuromorphicチップによって,エネルギー効率の良い学習が可能になるようなNN.DVSにノイズフィルターを適用して攻撃を軽減する.https://arxiv.org/abs/2109.00533
Guarding Machine Learning Hardware Against Physical Side-Channel Attacks
MLモデルのエッジデバイスへの移行が進む中,MLへのサイドチャネル攻撃はますます問題になっている.ハードウェアブロック内のMLモデルのサイドチャネル攻撃への防御を提案する.メモリやレイテンシのオーバヘッドを最適化するようなBoolean maskingを提案.https://arxiv.org/abs/2109.00187
Graph Automorphism Shuffles from Pile-Scramble Shuffles
カードベースの暗号に用いられるpile-scramble shuffleを有向グラフのシャッフルに適用した.グラフシャッフルはいろいろなシャッフルの一般化になっているらしい.https://arxiv.org/abs/2109.00397
Cats vs. Spectre: An Axiomatic Approach to Modeling Speculative Execution Attacks
映像認識モデルに対するBlack-Box型Adversarial Exampleの検討.高次元化にかかる計算量を削減するために選択された重要な領域とキーフレームのみに対する摂動を作成する.強化学習に基づくフレーム選択戦略で,saliency mapなどを使用している.https://arxiv.org/abs/2108.13818
Backdoor Attacks on Pre-trained Models by Layerwise Weight Poisoning
公開された重みに対するBackdoor攻撃は,fine-tuning時にハイパラを変えたり,トリガーを検知することで回避できるが,より深いBackdoorを仕掛けるために層状の重みポイズニング戦略を提案した.https://arxiv.org/abs/2108.13888
Morphence: Moving Target Defense Against Adversarial Examples
MorphenceというAdversarial Example攻撃の防御法の提案.複数の生徒モデルを作り,それらを定期的(ランダム性ももって?)に切り替えることでAEの生成を妨害する.https://arxiv.org/abs/2108.13952
EG-Booster: Explanation-Guided Booster of ML Evasion Attacks
説明可能なMLの技術を利用して,Adversarrial Examples攻撃を生成するEG-Boosterの提案.説明としてはLIMEやSHAPなどを対象としている.安定性評価指標を導入し攻撃の安定性を評価した.https://arxiv.org/abs/2108.13930
Protect, Show, Attend and Tell: Empowering Image Captioning Models with Ownership Protection
画像キャプションを作成するDLモデルの知的財産保護に関する研究.RNNに電子透かしを埋め込む.https://arxiv.org/abs/2008.11009
Student Surpasses Teacher: Imitation Attack for Black-Box NLP APIs
自然言語処理のタスクのブラックボックスModel Extarction攻撃で,被害モデルよりも精度の高いクローンモデルを作れるという報告.教師なしのドメイン適応や,複数の被害モデルに対するアンサンブルなどを組み合わせて実現した.https://arxiv.org/abs/2108.13873
Sample Efficient Detection and Classification of Adversarial Attacks via Self-Supervised Embeddings
pre-trained self-supervised encoderによる埋め込み空間での線形モデルを用いてAdversarial Exampleを検知する手法の提案.特に様々なタイプの攻撃を補足できるSimCatという手法を提案した.https://arxiv.org/abs/2108.13797
Adversarial Example Devastation and Detection on Speech Recognition System by Adding Random Noise
深層学習による自動音声認識(ASR)に対するAdversarial Exampleの研究.AEの入力例に対してノイズをさらに加えることでノイズを無効化する手法.テキスト依存型とコマンド依存型のASRそれぞれに対して検討している.https://arxiv.org/abs/2108.13562
Segmentation Fault: A Cheap Defense Against Adversarial Machine Learning
DLモデルに対するAdversarial Example攻撃のコスパの良い検知の提案.先行手法のML-LOO[23]の計算を軽量化したらしい.https://arxiv.org/abs/2108.13617
Mine Me but Don't Single Me Out: Differentially Private Event Logs for Process Mining
イベントログを差分プライベートにする手法の提案.ログ内のケースをオーバーサンプリングし,タイムスタンプにノイズを加える,差分プライベートなメカニズムを提案.https://arxiv.org/abs/2103.11739
Selective Differential Privacy for Language Modeling
言語モデルに対するプライバシー保護の研究では,RNNモデルを差分プライベートにすることによって行われていたが,それでは学習精度がよくない.言語モデルの訓練データの秘密情報は疎であることから,選択的差分プライバシーという概念を提案し,Selective-DPSGDを開発した.https://arxiv.org/abs/2108.12944
Single Node Injection Attack against Graph Neural Networks
GNNに対して悪意のあるノードを注入(変更ではなく)してGNNの性能に影響を与えるノードインジェクション攻撃,特に,テストフェーズ中に1つのノードしか注入できないという設定で最適な攻撃を探した.特に立てた最適化問題を現実的に解く方式も提案した.https://arxiv.org/abs/2108.13049
Private Multi-Task Learning: Formulation and Applications to Federated Learning
Joint Differential Privacyを使ったマルチタスク学習(MLT)のプライバシーの概念を定式化する.平均正則化MTLのアルゴリズムを提案.一般的なFLのベースラインと比較して,安全性と有用性のトレードオフを改善できるものになっている.https://arxiv.org/abs/2108.12978
Power-Based Attacks on Spatial DNN Accelerators
DNNの計算のエネルギー効率を高めるための空間アクセラレータの脆弱性を調査.一般的な8ビットの数値表現を用いたもの空間アクセレータに対して,差分電力解析(DPA)を行い,効率的にModel Extraction攻撃ができることを示した.https://arxiv.org/abs/2108.12579
Privacy-preserving Machine Learning for Medical Image Classification
胸部X線画像を調べて肺炎を検出するという医療画像分類モデルをDP化して実験してみた.https://arxiv.org/abs/2108.12816
2021年8月
Subspace Differential Privacy
subspace differential privacyという安全性指標を提案.これは,保護をかけるものが指定した不変量を尊重するようになっている.ランダマイズした後の情報をある出力空間内の線形部分空間に射影したものに対する通常の差分プライバシーを保証するという考え方みたい.https://arxiv.org/abs/2108.11527
Machine Unlearning of Features and Labels
machine unlearning(訓練済みモデルから特定の訓練データを除いたモデルを作り直すこと)の提案.強凸の損失関数を持つ学習モデルでは理論的に保証,非凸の場合でも効果的であり,他の戦略よりも高速であることを経験的に確かめた.https://arxiv.org/abs/2108.11577
PIVODL: Privacy-preserving vertical federated learning over distributed labels
データラベルが複数のデータ所有者に分散している場合の垂直型FL(勾配ブースティングモデルの)のフレームワークPIVODLの提案.https://arxiv.org/abs/2108.11444
Quantum Algorithms for Variants of Average-Case Lattice Problems via Filtering
都合の良い設定下で,SIS問題やEDCP,LWE問題を解く多項式時間の量子アルゴリズムを提案.どれも難しいとされてるパラメータ領域にはない(ので安心を).主な貢献はフィルタリング技術の導入と,良いパラメータ下でのLWE的な量子状態を与えられた時にLWEを解いたことである.https://arxiv.org/abs/2108.11015
Differentially Private Random Decision Forests using Smooth Sensitivity
差分プライベートなランダムフォレストの提案.指数メカニズムを使ってラベルのみを買えるようにすることで,必要なノイズの量を大幅に減らした.また,smooth sensitivityを用いることで必要なノイズをさらに減らした.連続値も扱えるようにしてある.https://arxiv.org/abs/1606.03572
EncoderMI: Membership Inference against Pre-trained Encoders in Contrastive Learning
contrastive learningのために事前学習されたEncoderに対するMembership Inference攻撃,EncoderMIの提案.この攻撃はoverfittingを利用する.OpenAIが公開しているCLIPというモデルで実験.early stoppingによる防御も検討した.https://arxiv.org/abs/2108.11023
Certifiers Make Neural Networks Vulnerable to Availability Attacks
深層学習モデルへのAdversarial Exampleを用いた攻撃を検知するための認証器(certifiers)に対して,PoisoningをすることでBackdoorを仕込む攻撃の提案.学習時に1%のデータをいじくることで,95%もrobustnessを落とすことができた.https://arxiv.org/abs/2108.11299
Measuring Data Leakage in Machine-Learning Models with Fisher Information
機械学習モデルから漏れる訓練データに関する情報量をFisher informationを用いて評価.差分プライバシーのような最悪のケースのアプリオリ保証とは異なり,データセット内の特定の例や属性,または部分集合に関する漏洩量を測定する.
Robustness Threats of Differential Privacy
DP-SGDによって,Adversarial Exampleによる攻撃に脆弱になることを発見.FGSMやPGDなどの攻撃に対して,様々な観点から影響を測定した.また,ノイズの付加やクリッピングが与える影響も調査.https://arxiv.org/abs/2012.07828v3
Federated Learning for Privacy-Preserving Open Innovation Future on Digital Health
FLをオープンなhealth ecosystemの実現に用いられることを説明している.既存の攻撃に言及しつつ,課題を整理した.https://arxiv.org/abs/2108.10761
Mitigating Statistical Bias within Differentially Private Synthetic Data
差分プライベートな合成データ生成.プライベートな尤度比によるDP-SGDの緩和を提案する.https://arxiv.org/abs/2108.10934
Integer-arithmetic-only Certified Robustness for Quantized Neural Networks
Adversarial Exampleを用いた攻撃に対して,ランダム平滑化を用いた防御があるが,これらは整数データしか扱わないエッジデバイスでは用いることができなかった.量子化を用いた整数ランダム化平滑化手法を提案した.L2ノルムを用いた攻撃に頑健であることを証明した.https://arxiv.org/abs/2108.09413
A Hard Label Black-box Adversarial Attack Against Graph Neural Networks
ノード分類ではなく,グラフ分類をするGNNに対するハードラベルブラックボックス(使えるのはモデルのクエリ応答のラベルのみ)なAE攻撃の提案.攻撃の最適化問題を理論的に収束が保証されるよう緩和して解いた.https://arxiv.org/abs/2108.09513
Personalised Federated Learning: A Combinational Approach
FLにおいて,実際のデータはnon-i.i.d.なので,ローカル学習のものより精度が落ちてしまうこともある.まず,プライバシー保護で精度が落ちることを確認し,次にfinetuning,mixture-of-experts ensemble,multi-task学習,知識蒸留などを組み合わせた際の性能評価をした.https://arxiv.org/abs/2108.09618
"Adversarial Examples" for Proof-of-Learning
S&P'21で,PoL(proof-of-learning)という新しい概念が提案された.これは,学習手順の完全性を証明することでモデルの所有権を証明できるというものであった.これをAdversarial Exampleを生成する最適化と同様の手法で破れることを示した.https://arxiv.org/abs/2108.09454
Statistical Quantification of Differential Privacy: A Local Approach
ブラックボックス環境における差分プライバシーの統計的定量化方法の提案.ランダム化アルゴリズムが満たすプライバシーレベルの推定をする.https://arxiv.org/abs/2108.09528
Efficient Error Prediction for Differentially Private Algorithms
差分プライバシーのaccuracy/privacyのトレードオフについて,DPによる精度劣化の予測を行うための新しい実験を提案した.https://arxiv.org/abs/2103.04816
Federated Learning Meets Fairness and Differential Privacy
深層学習には公平性の問題やプライバシーの問題があるため,差分プライバシーやFL,公平性メトリクスなどの考え方が研究されているが,これらをすべて取り入れることで,初めて倫理的なFLを提示した.https://arxiv.org/abs/2108.09932
Regulating Ownership Verification for Deep Neural Networks: Scenarios, Protocols, and Prospects
DNNの電子透かしによる保護を「the ownership proof」「the federated learning」「the intellectual property transfer」の3つのシナリオで研究し,新しい要件などを提案した.https://arxiv.org/abs/2108.09065
Quantization Backdoors to Deep Learning Commercial Frameworks
32ビット浮動小数点演算ができるようなデバイスでは起動しないが,モバイル機器などに搭載するときの量子化によって発動するBackdoor攻撃の提案.TensorFlow-Liteのデフォルトの量子化でint-8形式に変換するとBackdoorがちゃんと作動することを実証する.https://arxiv.org/abs/2108.09187
UnSplit: Data-Oblivious Model Inversion, Model Stealing, and Label Inference Attacks Against Split Learning
Split learning frameworkに対する攻撃の提案.一部のモデルをサーバー側,一部のモデルをクライアント側で学習させながら,モデルを作成したりするが,honest-but-curiousなサーバーが,クライアント側のデータを復元し,類似のモデルを復元できたりすることなどを示した.https://arxiv.org/abs/2108.09033
PatchCleanser: Certifiably Robust Defense against Adversarial Patches for Any Image Classifier
分類器に対するpatch攻撃とは,画像に局所的なパッチを貼り付けることで誤分類を誘発する攻撃で,物理的に印刷したものを対象物に貼ったりできるため現実の脅威になりうる.それに対する防御としてPatchCleanserを提案した.https://arxiv.org/abs/2108.09135
AdvDrop: Adversarial Attack to DNNs by Dropping Information
人間は例えば漫画など,情報が失われた視覚物体を容易に認識することができる.画像の情報を削除することで敵対的な例を作り出す新しい敵対的攻撃を提案した.解像度を落とすことで情報を落としていっているっぽい.https://arxiv.org/abs/2108.09034
SplitGuard: Detecting and Mitigating Training-Hijacking Attacks in Split Learning
split learningにおいて,悪意あるサーバーが不正な情報をクライアントに送り,クライアントの情報を盗み見るハイジャック攻撃を防いだり検知するSplitGuardの提案.https://arxiv.org/abs/2108.09052
Application of Adversarial Examples to Physical ECG Signals
心電図分類用のNNモデルに対するAdversarial Exampleの実現可能性の評価.実際に信号発生器を設計して,ハードウェア攻撃をセンサーに対して物理的に行う実験もした.https://arxiv.org/abs/2108.08972
Uniformity Testing in the Shuffle Model: Simpler, Better, Faster
差分プライベートな一様性検定の研究.シャッフルモデルにおける最近の結果を用いて,一様性検定の既存手法を大幅に改良した.https://arxiv.org/abs/2108.08987
On computations with Double Schubert Automaton and stable maps of Multivariate Cryptography
多変数暗号に使えるアフィン空間K^nの2次自己同型多項式写像に関する何か(ある設定下のなかのstable transformationの族の存在?)を示した.二部グラフに基づいたオートマトングラフを具体的に記述することで示した.それに基づいた多変数暗号方式を提案した?https://arxiv.org/abs/2108.08288
User configurable 3D object regeneration for spatial privacy
拡張現実(AR)や複合現実(MR)アプリケーションは実際の空間を正確にデジタルコピーするが,それはプライバシーを脅かす可能性がある.3D点群のプライバシーを保護する方法を提案.adversarial autoencoderを応用してオリジナルとコピーの類似度をコントロールする.https://arxiv.org/abs/2108.08273
Secure Decision Forest Evaluation
サーバー上のDecision Forestを安全に活用する手法の提案.MaliciousなユーザとHonest-but-Curiousなユーザそれぞれに対するプロトコルが用意してあって,ユーザのプライバシーを守りつつ,サーバーはモデルに関する評価を得られる(?) https://arxiv.org/abs/2108.08546
Pruning in the Face of Adversaries
NNのpruningが,敵対的な攻撃へのロバスト性に与える影響についての研究.網羅的に調査.結果として,この二つは両立するような最適なスポットがあることが明らかになった.攻撃者の仮定によって,最適な戦略は変わることも明らかにした.https://arxiv.org/abs/2108.08560
Exploiting Defenses against GAN-Based Feature Inference Attacks in Federated Learning
FLにおけるGANベースのデータ復元の攻撃に対する防御,Anti-GANを提案する.対策として,クライアントは自身もGANを用いてデータを増やし,それを混ぜたものでモデル更新を行うという手法.これは攻撃を防ぎつつFLモデルの精度は落とさなかった.https://arxiv.org/abs/2004.12571
Decomposed Richelot isogenies of Jacobian varieties of hyperelliptic curves and generalized Howe curves
任意種数の超楕円曲線のヤコビ多様体間のdecomposed Richelot isogenyに関する特徴づけを与える.一般化されたHowe曲線を定義し,それとdecomposed Richelot isogenyの関係に関する定理を二つ示す.例をいくつか提示する.https://arxiv.org/abs/2108.06936
On the Complexity of Two-Party Differential Privacy
二者間差分プライバシーは,client-server型のものより精度が落ちるが,公開鍵暗号プリミティブを用いて,計算量的差分プライバシーを考えるとその精度ギャップが埋められる.内積やハミング距離を使い,key-agreementプロトコルの存在を示し,それができることを示した(?)https://arxiv.org/abs/2108.07664
Perturbed M-Estimation: A Further Investigation of Robust Statistics for Differential Privacy
差分プライバシーとロバスト統計の関係性に注目し,新しい有界関数を使って,目的関数に加える摂動を修正し,適切な統計的特性を持つ有界M-Estimatorを定めた.https://arxiv.org/abs/2108.08266
Revisiting Adversarial Robustness Distillation: Robust Soft Labels Make Student Better
敵対的学習ではモデルが大きいほどAE耐性が向上し,小型のモデルに対する有効性が制限される傾向がある.Robust Soft Label Adversarial Distillationという,AE耐性のある大規模教師モデルのロバストなソフトラベルを用いて小さい生徒モデルを知識蒸留で作成する手法の提案.https://arxiv.org/abs/2108.07969
MBRS : Enhancing Robustness of DNN-based Watermarking by Mini-Batch of Real and Simulated JPEG Compression
深層学習に基づく電子透かしアルゴリズムは,エンコーダ,ノイズ層,デコーダの3つのブロックからなる.特にノイズ層での敵対的な学習が重要だが,これは,JPEG圧縮に対する頑健性を十分に持っていない.こういった手法に耐性を持った電子透かしアルゴリズムを作成した.https://arxiv.org/abs/2108.08211
Towards Face Encryption by Generating Adversarial Identity Masks
個人の写真にノイズをかけ,不正な顔認識システムからユーザを保護しつつ,人間にとっては元の写真と見た目が変わらないようにする技術を開発するため,顔画像に重ねられる敵対的なマスクを生成するtargeted identity-protection反復法を提案した.https://arxiv.org/abs/2003.06814
Probability Distributions for Elliptic Curves in the CGL Hash Function
elliptic curve CGL hash functionという入力文字列を,isogeny graph(ノードが楕円曲線でエッジが同種写像)内の楕円曲線にうつす関数の調査.ハッシュ値の取りうる値上の確率分布を計算し,記述する定理を導出した.その定理を用いて耐衝突性を評価した.https://arxiv.org/abs/2108.06457
Quantum and semi-quantum sealed-bid auction: Vulnerabilities and advantages
量子封印入札方式オークションの既存プロトコルには,いくつかの脆弱性があることを指摘.そういった脆弱性を克服したsemi-quantumなプロトコルを提案した.https://arxiv.org/abs/2108.06388
One Time Pad and the Short Key Dream
ワンタイムパッド(OTP)暗号とその派生のサーベイ.OTPの話と短い乱数列から長い乱数列を作る「Short Key Dream」を議論している.https://arxiv.org/abs/2108.06981
Towards Secure and Practical Machine Learning via Secret Sharing and Random Permutation
FLなどはそれだけではプライバシー保護性が理論的に保証されてはない.ランダム置換と秘密分散を組み合わせた暗号学的なプライバシー保護機械学習フレームワークを提案した.distance correlationをプライバシー漏洩指標として採用した.既存の暗号的な手法よりも速い.https://arxiv.org/abs/2108.07463
A Novel Attribute Reconstruction Attack in Federated Learning
FLシステムにおいて悪意のあるサーバがエポック平均の勾配を用いてローカルトレーニングデータへ属性再構成攻撃する場合を系統的に評価した.cos-matchingという勾配マッチングに基づく手法を提案した.https://arxiv.org/abs/2108.06910
An efficient implementation of the Shamir secret sharing scheme
Shamirの秘密分散法では,Maximum Distance Separable符号が必要であり,Reed-Solomon符号が用いられる.RS符号の代わりにXOR演算に基づいた配列符号を用いることで,高速化した.https://arxiv.org/abs/2108.05982
Invisible Backdoor Attack with Sample-Specific Triggers
DNNへのBackdoor攻撃の提案.従来の手法は複数のPoisonサンプルには同じ形のトリガーが埋め込まれていて容易に検知することができた.ステガノグラフィの考え方を利用し,サンプルごとに見えにくいノイズを生成した.https://arxiv.org/abs/2012.03816
Simple black-box universal adversarial attacks on medical image classification based on deep neural networks
Black-Boxな設定で,hill-climbling探索を用いて,Universal adversarial attack(UAP)を作成する方法を提案した.これはnon-targetな方式,target方式にも適用可能.医用画像分類に対して,実験を行い有効性を検証した.https://arxiv.org/abs/2108.04979
SoK: How Robust is Image Classification Deep Neural Network Watermarking? (Extended Version)
DNNに対する電子透かしに関するサーベイ.特に透かし除去の攻撃に対する体系的な調査を行った.CIFAR-10とImageNetのデータセットを用いた実験を行った.https://arxiv.org/abs/2108.04974
Winning the NIST Contest: A scalable and general approach to differentially private synthetic data
差分プライベートな合成データ生成の一般的なアプローチを提案.いくつかの値にノイズをかけ,それに近いような合成データを生成する手法.具体例として2018年のNISTで行われた差分プライベート合成データ生成コンペの優勝方式などを紹介.https://arxiv.org/abs/2108.04978
Statistical Inference in the Differential Privacy Model
差分プライベートな統計的推論に対して,必要なサンプル量などを定量的に分析した.著者が博士課程で行った研究のまとめらしい.https://arxiv.org/abs/2108.05000
Jujutsu: A Two-stage Defense against Adversarial Patch Attacks on Deep Neural Networks
DNNに対するロバストでユニバーサルな敵対的パッチ攻撃の検出・緩和方法,Jujutsuを提案.説明可能なAIの技術を用いて怪しい部分を他の画像に移植して悪意のあるものかをチェックする.またランダムマスキングなどをして攻撃の効力を弱める.https://arxiv.org/abs/2108.05075
Canonical Noise Distributions and Private Hypothesis Tests
f-DPという従来の差分プライバシーを一般化した設定で,ノイズが適切かをとらえるためのcanonical noise distribution(CND)という概念を提案する.このCNDがprivate仮説検定と密接な関係であり,p値の公開やUMPがプライベートに行えることを示した.https://arxiv.org/abs/2108.04303
One Glitch to Rule Them All: Fault Injection Attacks Against AMD's Secure Encrypted Virtualization
TEEに対するサイドチャネル攻撃.AMD Secure Processor上で,攻撃者がカスタムペイロードを実行できるような電圧グリッチ攻撃を提案した.これにより攻撃者はVMのメモリを見ることができる.https://arxiv.org/abs/2108.04575
Privacy-Preserving Machine Learning: Methods, Challenges and Directions
機械学習モデルに対するプライバシーの脅威のサーベイ.Phase,Guarantee,Technical Utilityの三要素の観点から,MLモデルに対する membership/property inference attacks and model inversion attacksの脅威をまとめた.https://arxiv.org/abs/2108.04417
On Procedural Adversarial Noise Attack And Defense
攻撃対象のデータ分布の事前知識がない状態でのuniversalなAdversarial Examples攻撃の提案.視覚的な分類を乱す陰影をレンダリング技術で生成した.https://arxiv.org/abs/2108.04409
Efficient Hyperparameter Optimization for Differentially Private Deep Learning
DP-SGDのハイパラ探索の研究.進化的,ベイズ的,強化学習的な観点での3つのフレームワークでそれぞれプライバシーと有用性の最適なトレードオフを体系的に研究する.https://arxiv.org/abs/2108.03888
PatchRNN: A Deep Learning-Based System for Security Patch Identification
OSS活用が増加するにつれて,脆弱性は下流のアプリケーションにも伝播するが,下流に行けば行くほどそのセキュリティパッチのタイムリーな反映も難しくなる.そういった反映されていないセキュリティパッチを自動で発見するPatchRNNというRNNベースの方法を提案する.https://arxiv.org/abs/2108.03358
Secure Neuroimaging Analysis using Federated Learning with Homomorphic Encryption
完全準同型暗号(FHE)を用いた安全なFederated Learningのフレームワークを提案した.具体的にはCKKS constructionというLWEに基づく方式を用いる(実数も近似的に扱えて,複数のデータをまとめて一つの暗号文にするパッキングができる).https://arxiv.org/abs/2108.03437
Membership Inference Attacks on Lottery Ticket Networks
Membership Inference攻撃はモデルの過学習を利用する場合が多いため,「宝くじ仮説(NNの中には同等のテスト精度をもつ疎なサブネットワークがある的な)」で言われるサブネットなら影響を受けにくいのではないかと思われたが,同等の攻撃を行うことができた.https://arxiv.org/abs/2108.03506
Jointly Attacking Graph Neural Network and its Explanations
GNNへのAdversarial Exampleによる攻撃は,その説明GNNExplainerで検出できることが言われている.それを受けて,GNNとそのExplainer両方に対して攻撃を行うGEAttackを提案する.https://arxiv.org/abs/2108.03388
Privacy Odometers and Filters: Pay-as-you-Go Composition
合成の長さやプライバシー予算が適応的に変化するときの,適応的合成定理について調査した.固定的なパラメータ設定では,設定パラメータを超えたら止めるfilterと,終わったとき消費した予算をしらせるodometerは等価だが,適応的な設定では異なることを示した.https://arxiv.org/abs/1605.08294
Quantum Meets the Minimum Circuit Size Problem
量子計算の設定における最小回路サイズ問題(MCSP,関数を表現するのに基本回路がいくつ必要かみたいな問題)を考察した.ブール関数、ユニタリ、量子状態の三つの基本的なものに関して,問題がNPではなく、QCMAであることを示した.https://arxiv.org/abs/2108.03171
Analyzing Information Leakage of Updates to Natural Language Models
自然言語モデルはパラメータ更新の際に,差分を比較することで多くの情報が漏れることがある.Differential ScoreとDifferential Rankという二つの指標を提案し,どれくらい除法が漏れるのか分析した.これらがプライバシーに与える影響を考察し,緩和策を提案した.https://arxiv.org/abs/1912.07942
Differentially Private n-gram Extraction
テキストの中からn語(n-gram)を差分プライベートに抽出する技術の研究.n-gram抽出はNLPでの基本的な処理で,最近注目されているDPSU(Differentially Private Set Union)の一般化.https://arxiv.org/abs/2108.02831
Privacy-Preserving Synthetic Location Data in the Real World
位置データの差分プライベートな合成データ生成を2つ提案する.パーティショニングによるカーネル密度推定を用いた手法と,都市の道路網などを用いたネットワークベースの手法がある.どちらの手法も実データで高い有用性を保った.https://arxiv.org/abs/2108.02089
Exploring Structure Consistency for Deep Model Watermarking
Model Extraction攻撃の対策として電子透かしがあるが,これは学習中に一般的なデータ拡張(画像の回転,サイズ変更)などを行うことで機能しなくなる.そういった問題に対応するため,"structure consistency''という概念を提案し,それに基づいた電子透かしを提案する.https://arxiv.org/abs/2108.02360
Poison Ink: Robust and Invisible Backdoor Attack
既存のBackdoor攻撃手法は前処理によって見つかってしまう,もしくは壊れてしまうことが知られている.Poison Inkというロバストで不可視のBackdoorを提案する.画像内のエッジにPoisoningのための情報を入れることで見えにくくロバストな攻撃ができた.https://arxiv.org/abs/2108.02488
Semi-supervised Conditional GAN for Simultaneous Generation and Detection of Phishing URLs: A Game theoretic Perspective
スピアフィッシングとは攻撃者が十分に調査したターゲットに対して電子メールでハイパーリンクを送信する攻撃である.悪意のあるURLと良性のURLを見分けるためにContidional GANのフレームワークを利用.ゲーム理論の観点で2種類のゲームを提案.https://arxiv.org/abs/2108.01852
Secure and Privacy-Preserving Federated Learning via Co-Utility
FLにおける様々なセキュリティ脅威をに対して,共益性(co-utility)の観点を利用して,参加者がプロトコルを遵守するためのインセンティブを提供する分散型共益性評価管理システムを提案する.https://arxiv.org/abs/2108.01913
Real-World Trajectory Sharing with Local Differential Privacy
位置情報に対するlocal DPはユーザに依存しない公共の知識(企業の所在地や営業時間,公共交通機関のスケジュール,地理的に位置するツイートなど)を反映させられないため,有用性の高いデータがつくれない.階層的な位置情報にノイズを加えるLocal DPを提案した.https://arxiv.org/abs/2108.02084
Finite Horizon Privacy of Stochastic Dynamical Systems: A Synthesis Framework for Dependent Gaussian Mechanisms
サイバーフィジカルシステムにおける確率的力学系のプライバシ保護のメカニズム提案.これは秘匿したいデータが確率的なので差分プライバシーは適用できない.保護は座標変換とガウシアンノイズを足すことなどで行われ,安全性は相互情報量で評価する.https://arxiv.org/abs/2108.01755
Adapting to Function Difficulty and Growth Conditions in Private Optimization
特定の関数の困難性に適応したプライベート確率凸最適化を提案.https://arxiv.org/abs/2108.02391
DeepFreeze: Cold Boot Attacks and High Fidelity Model Recovery on Commercial EdgeML Device
EdgeMLでは,訓練済みモデルはRaspberry Piなどのホストに読み込まれ推論のため,Intel Neural Compute Stick 2 (NCS)などのEdgeMLアクセレータに転送される.Raspberry Piで読み込まれた重みをNCSへのcold boot based攻撃で復元した.成功率100%で誤差0.04%,精度低下0.5%.https://arxiv.org/abs/2108.01281
The Devil is in the GAN: Backdoor Attacks and Defenses in Deep Generative Models
深層生成モデルは学習の重さから,オープンソースのモデルリポジトリなどの事前学習済みモデルを使用することが多い.このようなシナリオのもと攻撃のステルス性と忠実性という2つの目的を兼ね備えた敵対的損失関数に基づいたBackdoor攻撃を提案する.GANやVAEで実験した.https://arxiv.org/abs/2108.01644
Large-Scale Differentially Private BERT
DP-SGDを用いたBERT-Largeの事前学習の検討.バッチサイズのスケジュールとかを工夫して効率を上げた.XLAコンパイラと組み合わせてJAXプリミティブを使うことでDP-SGDのオーバヘッドを最小化できるという先行研究[SVK20]を利用したらしい.https://arxiv.org/abs/2108.01624
Generating Master Faces for Dictionary Attacks with a Network-Assisted Latent Space Evolution
人口の大部分に対して顔ベースのID認証をパスする顔画像のことをmaster faceと呼ぶ.StyleGAN顔生成器の潜在的な埋め込み空間において,進化的アルゴリズムを用いてmaster faceの生成を試みた.実験では10個以下のmaster faceで人口の40%ほどをカバーできた.https://arxiv.org/abs/2108.01077
Towards Making Deep Learning-based Vulnerability Detectors Robust
ソフトウェアの脆弱性を自動的に検出する深層学習モデルへのAE攻撃の対策.簡単なコード変換に脆弱なことを示し,その対策であるZigZagというフレームワークを提案.https://arxiv.org/abs/2108.00669
Quantum collision finding for homomorphic hash functions
準同型性を持ったハッシュ関数は量子計算機によるhidden subgroup problem algorithmに脆弱である.量子オラクルを仮定したもとで,SWIFFTに対する現像攻撃やある種の乗法準同型ハッシュに対する衝突攻撃を具体的に紹介する.https://arxiv.org/abs/2108.00100
Information Stealing in Federated Learning Systems Based on Generative Adversarial Networks
生成的敵対ネットワーク(GAN)を活用したFL環境における他者のプライベート情報を復元する手法の提案.画像データを使った実験では,それぞれのclientが違うラベルのデータを持っている場合,グローバルモデルから他の人が持っているデータが生成モデルによって復元できた.https://arxiv.org/abs/2108.00701
A Decentralized Federated Learning Framework via Committee Mechanism with Convergence Guarantee
FLに対する攻撃に耐性を持ったサーバーレスFLフレームワークCommittee Mechanism based Federated Learning (CMFL)を提案する.委員会システムによる審査によってuploadされた勾配を採用するかを決める.収束保証も理論的にされてるらしい.https://arxiv.org/abs/2108.00365
BadEncoder: Backdoor Attacks to Pre-trained Encoders in Self-Supervised Learning
コンピュータビジョンにおける自己教師付き学習は,ラベルのない大量のデータの特徴量をエンコーダで抽出することによって行う.こうした自己教師付き学習に対するBackdoor攻撃,BadEncoderを提案.これを用いた下流の分類器は高い精度を保つが,特定の攻撃には脆弱になった.https://arxiv.org/abs/2108.00352
KNG: The K-Norm Gradient Mechanism
K-Norm Gradient Mechanismという差分プライベートな目的関数の摂動法を提案する.指数メカニズムの柔軟性は保持しつつ,有用性の高い保護を実現する.線形回帰や分位点回帰などの実験で,提案手法の有用性を確かめた.https://arxiv.org/abs/1905.09436
Advances in adversarial attacks and defenses in computer vision: A survey
Adversarial Examplesによる攻撃が発見[1]されてから,2018年までのAE攻撃や防御は[2]でまとめられている.それ以降の研究結果をまとめた.特に権威のある情報源に掲載された査読付きの論文をまとめた.https://arxiv.org/abs/2108.00401
Faster Rates of Private Stochastic Convex Optimization
ある特定の条件下での人口リスクに関するDifferentially Private Stochastic Convex Optimization (DP-SCO)を提案する.出力を得るまでの計算量を具体的に計算できている.https://arxiv.org/abs/2108.00331
Cybonto: Towards Human Cognitive Digital Twins for Cybersecurity
サイバーセキュリティのための,Digital Twins(DT),特にHuman Digital Twins(HDT)の活用法を検討.20個くらいの心理学の理論に基づいたサイバーセキュリティのオントロジーを提案.https://arxiv.org/abs/2108.00551
Certified Defense via Latent Space Randomized Smoothing with Orthogonal Encoders
Randomized Smoothing(RS)はℓ2ノルムによるAE攻撃への防御として有力であるが,評価のための計算量コストが大きい.潜在空間へ落とし次元削減したうえでRSを行う方法を提案.https://arxiv.org/abs/2108.00491
Remote quantum-safe authentication of entities with physical unclonable functions
長距離でも量子安全な遠隔エンティティ認証を実現することは未解決である.エンティティ認証プロトコルが遠隔認証に有用であるために必要な要件について議論し,長距離でも動作し,古典的な敵と量子的な敵の両方に対して安全性を提供するプロトコルを提案した.https://arxiv.org/abs/2108.00468
Technical Report for HW2VEC -- A Graph Learning Tool for Automating Hardware Security
ハードウェアセキュリティのためのオープンソースのグラフ学習ツール,HW2VEC[11]の紹介をする技術報告.構造的特徴と動作的特徴の両方を保持したベクトルでハードウェア設計を表現できるらしい.https://arxiv.org/abs/2108.00078
An Efficient DP-SGD Mechanism for Large Scale NLP Models
自然言語処理において,DP-SGDをGPUで回せるようにし,LSTMやトランスフォーマーといった構造に基づくfine-tuningに適用した.複数のGPUごとのミクロバッチ計算が,結果としてガウシアンメカニズムと同じ安全性を与えるという結果を利用しているらしい.https://arxiv.org/abs/2107.14586
Blind Faith: Privacy-Preserving Machine Learning using Function Approximation
学習は平文で,推論は準同型暗号で暗号文として行うBlind Faithという方式の提案.活性化関数はChebyshev多項式で近似している.低い次数のChebyshev多項式の線形和で,有界区間内の連続関数は効率的に近似できる.https://arxiv.org/abs/2107.14338
Synthetic flow-based cryptomining attack generation through Generative Adversarial Networks
侵入検知システム(IDS)のMLモデルを学習させるためにはフローベースのデータが必要だが,実データはプライバシの問題があるため,GANを用いることが研究されてる.現状としては合成データのみでは精度がでず実データと混ぜて使っているが,両者の品質を測る方法を提案した.https://arxiv.org/abs/2107.14776
Can You Hear It? Backdoor Attacks via Ultrasonic Triggers
NNの学習は莫大な費用がかかるため,学習を第三者に委託するか,事前に学習したものを使うことが一般的だが,第三者が悪意を持って自動音声認識システムへのバックドア攻撃として,聞き取れないトリガーを注入した場合を検討した.1%未満のトリガーで攻撃成功率100%を得た.https://arxiv.org/abs/2107.14569
Practical Attacks on Voice Spoofing Countermeasures
自動話者認証システムへのなりすまし攻撃の対策に対する攻撃の提案.声も似てるものになるらしく,既存の対策も込みで最適化した攻撃.コールセンターでの音声バイオメトリクスの使用が増加していることから,実際に起こりうるストーリーで攻撃を実行した.https://arxiv.org/abs/2107.14642
Unveiling the potential of Graph Neural Networks for robust Intrusion Detection
GNNを用いたネットワーク侵入検知システム(NIDS)の提案.送信者/受信者などのフローを個々ではなく,異なるフロー間の関係などをとらえることで,既存のMLによるNIDS回避攻撃に耐性ができる.https://arxiv.org/abs/2107.14756
NeuralDP Differentially private neural networks by design
通常のDP-SGDは損失関数の勾配をクリッピングしているが,推論時の中間層での活性化状態を差分プラ場ベート化したNeuralDPを提案した.DP-SGDよりかなり有用性が高い結果が得られた.https://arxiv.org/abs/2107.14582 (withdrawn)
Set It and Forget It! Turnkey ECC for Instant Integration
Elliptic Curve Cryptography (ECC)の実装,テスト,統合を完全に自動化する手法を提案.https://arxiv.org/abs/2007.11481
2021年7月
Imbalanced Adversarial Training with Reweighting
不均衡なラベル割合のデータを用いたAdversarial Training,Separable Reweighted Adversarial Training (SRAT)の検討.データの分離可能性が低いことが,サンプルの少ないクラスと多いクラスの間にトレードオフ的な関係があることの理由の一つであることを理論的に示した.https://arxiv.org/abs/2107.13639
Understanding the Effects of Adversarial Personalized Ranking Optimization Method on Recommendation Quality
推薦システムに対して,Bayesian Personalized Ranking(BPR)をロバスト化したAdversarial PR (APR) が提案されているが,精度以外の観点に対してはBPRの脆弱性がAPRにもある可能性がある.tailedな分布のデータには,APRの方が人気バイアスを増幅することを示した.https://arxiv.org/abs/2107.13876
Secure Bayesian Federated Analytics for Privacy-Preserving Trend Detection
Federated learningでできたモデルの精度を確かめたりするFederated analyticsをベイズ化する.トレンド検出を応用例に実験など行った.https://arxiv.org/abs/2107.13640
Fully Homomorphically Encrypted Deep Learning as a Service
完全準同型暗号を用いて深層学習を行う際,スケーラブルで計算量を少なくするための方法を調査した.農業食品のサプライチェーンで多者がデータを持ち寄りモデルを作るシナリオを議論.牛乳生産量予測の実験では,メモリは食うが時間は現実的なプライバシー保護推論ができた.https://arxiv.org/abs/2107.12997
TableGAN-MCA: Evaluating Membership Collisions of GAN-Synthesized Tabular Data Releasing
black-box生成モデルからランダムにサンプリングされた出力のみを与えられた攻撃者が,部分的なGANの訓練データを回復することを可能にするTableGAN-MCA(Membership Collision Attack)を提案.as expected,差分プライバシーはあまり防御になっていなかった.https://arxiv.org/abs/2107.13190
AutoGAN-based Dimension Reduction for Privacy Preservation
次元削減に基づく新しいプライバシー保護を提案.AutoGANを用いて潜在空間に落とす感じで次元削減する.3種類の顔画像データセットを使って実験したら肉眼では区別がつかない画像が復元できた.https://arxiv.org/abs/1902.10799
Selective MPC: Distributed Computation of Differentially Private Key-Value Statistics
鍵と数値の組からなるkey value dataに対し,相関を保持するプライバシー保護技術の提案.local DPでは精度に問題があり,多者間秘密計算(MPC)では計算オーバーヘッドが大きい.selective multiparty computationというDPを部分的に用い計算コストを省略したMPCを提案した.https://arxiv.org/abs/2107.12407
Towards Industrial Private AI: A two-tier framework for data and model security
IoT環境におけるデータとモデルパラメータの2つのセキュリティを実現するFederated Learning and Encryption-based Private (FLEP) AIフレームワークを提案した.https://arxiv.org/abs/2107.12806
Learning Numeric Optimal Differentially Private Truncated Additive Mechanisms
差分プライバシーはprivacy-utility trade-offが課題.ノイズを付加するタイプの差分プライベートなメカニズムのノイズが従う分布が有界なものである場合,最適なレンジを勾配降下法などで学習する.https://arxiv.org/abs/2107.12957
LEGATO: A LayerwisE Gradient AggregaTiOn Algorithm for Mitigating Byzantine Attacks in Federated Learning
Federated Learningにおけるビザンチン攻撃に対して耐性のある,LayerwisE Gradient AggregatTiOn (LEGATO)という,スケーラブルで一般化可能な集約アルゴリズムを紹介した.https://arxiv.org/abs/2107.12490
Poisoning Online Learning Filters: DDoS Attacks and Countermeasures
データポイズニング攻撃がオンラインDDoSフィルタリングに与える影響について,初めて体系的な研究を行った.攻撃者が攻撃中にプロファイルを切り替えたりすることで,フィルターの精度を落とすことができる.防御法も提案している.https://arxiv.org/abs/2107.12612
Adversarial Attacks with Time-Scale Representations
画像をwavelet変換して高周波の摂動を加えることでAdversarial Exampleが生成できる(?).https://arxiv.org/abs/2107.12473
HySec-Flow: Privacy-Preserving Genomic Computing with SGX-based Big-Data Analytics Framework
SGXプラットフォームを用いた大規模ゲノムデータ解析のための新しいHybrid Secured Flowフレームワーク,HySec-Flowを提案.https://arxiv.org/abs/2107.12423
Practical quantum multiparty signatures using quantum-key-distribution networks
量子鍵配送(QKD)ネットワーク上で任意の長さのメッセージの真正性と転送可能性を保証する無条件安全署名(USS)方式を提案する.https://arxiv.org/abs/2107.12974
Quantum Meet-in-the-Middle Attack on Feistel Construction
7ラウンドのFeistel構造に対する量子攻撃の計算量を削減した.空間計算量も削減できた.https://arxiv.org/abs/2107.12724
Combining Graph Neural Networks with Expert Knowledge for Smart Contract Vulnerability Detection
スマートコントラクトの脆弱性発見をGNN使ってうまくやった.https://arxiv.org/abs/2107.11598
Quantum Equivalence of the DLP and CDHP for Group Actions
群作用のvectorization problem(DLP)をparallelization problem(CDHP)に多項式時間で量子還元する手法を提案.この還元はCSIDH(同種写像暗号が帰着する安全性)にはそのまま適用できないことも確かめた(できないことを示したわけではない).https://arxiv.org/abs/1812.09116
Membership Inference Attack and Defense for Wireless Signal Classifiers with Deep Learning
無線信号の分類器から訓練データを推定するover-the-air Membership Inference攻撃の提案.訓練データがわかると波形、チャネル、デバイスの特性などがわかり,PHY層の認証に侵入などに悪用することもできる.攻撃に加えて防御方法の提案,実験も行った.https://arxiv.org/abs/2107.12173
Adversarial training may be a double-edged sword
敵対的学習はホワイトボックスなAdversarial Example生成攻撃に対してよい防御になっている.しかし,これはモデルの決定境界を平らにする傾向がある.そうすると,ブラックボックスなAE生成攻撃には都合がいいことを示した.https://arxiv.org/abs/2107.11671
Detecting Adversarial Examples Is (Nearly) As Hard As Classifying Them
ある大きさeの摂動によるAdversarial Examples検出器が与えられると,大きさe/2のAEにロバストな分類器が作成できることを示した.これは検出器オプションがある場合とない場合,互いに帰着できることを意味する.https://arxiv.org/abs/2107.11630
On the Sample Complexity of Privately Learning Axis-Aligned Rectangles
ユークリッド空間内のaxis-aligned rectangles(有限格子みたいなイメージ?)を差分プライベートに学習するために必要なサンプル量のオーダーを求めた.https://arxiv.org/abs/2107.11526
Differential Privacy in the Shuffle Model: A Survey of Separations
centralな差分プライバシーとlocalな差分プライバシーのいいところどりをしたshuffle modelをサーベイした.https://arxiv.org/abs/2107.11839
A survey on NIST PQ signatures
アメリカ国立標準技術研究所(NIST)は,量子コンピュータが暗号解読に使われる脅威を見越して,耐量子公開鍵交換アルゴリズムと耐量子デジタル署名アルゴリズムを募集している.耐量子デジタル署名のラウンド3における最終候補とその代替候補の6種類を簡単にまとめる.https://arxiv.org/abs/2107.11082
On the Certified Robustness for Ensemble Models and Beyond
アンサンブルにするとAE耐性が強くなる.しっかりと証明付きの耐性を定義し,他の耐性との関係を調査した.モデル平滑性などの仮定のもと,別の必要十分条件を発見.提案したrobustnessを達成するDiversity Regularized Trainingという学習を提案し,実験で効果を確かめた.https://arxiv.org/abs/2107.10873
High Dimensional Differentially Private Stochastic Optimization with Heavy-tailed Data
高次元空間におけるヘビーテールのデータを用いた差分プライベートな確率的凸最適化(DP-SCO)の問題に取り組んだ最初の論文.損失関数にいくつか仮定を持たせた中で,誤差のオーダーを明示的に計算している.スパースなデータに対しても誤差のオーダーを計算した.https://arxiv.org/abs/2107.11136
A Characterisation of Smart Grid DoS Attacks
スマートグリッド(リアルタイムで電力需要を把握し,供給側と需要側の双方から電力の流れを最適化する送電網)特有のDoS攻撃のシナリオを網羅的に調査.https://arxiv.org/abs/2107.11202
Unsupervised Detection of Adversarial Examples with Model Explanations
モデルの説明(saliency map)を用いてAdversarial Exampleの検知をする手法の提案.入力に摂動を加えるとモデルの説明に大きな影響を与えるという観察結果を利用.訓練済みモデルに対し,各ラベルサンプルの説明画像を教師なし学習で学習し保持しておき,それを使って判定.https://arxiv.org/abs/2107.10480
Differentially Private Algorithms for 2020 Census Detailed DHC Race & Ethnicity
アメリカ国勢調査局が2020年の国勢調査で用いた差分プラベートなシステムを紹介する.2つの方式を紹介する;一つはラプラス分布を足す"Pure-DP",もう一つはZero Concentrated DPというDPの緩和版に基づいたガウス分布を足す方法である.この2つについて具体的に調査した.https://arxiv.org/abs/2107.10659
Ready for Emerging Threats to Recommender Systems? A Graph Convolution-based Generative Shilling Attack
Graph cOnvolution-based generative shilling ATtack (GOAT)という実現性と威力のバランスをとった推薦システムへのサクラ攻撃(不当な商品推薦を誘導する攻撃)を提案する.実際の評価分布を学習するためGANのフレームワークを利用.https://arxiv.org/abs/2107.10457
Spinning Sequence-to-Sequence Models with Meta-Backdoors
ニューラルSequence-to-Sequenceモデルに対するBackdoor攻撃.contextは保持したまま感情分析などのメタタスクを攻撃者の狙ったほうに動かす(従来はcontext無視で分析結果を反転させるなどしていた).https://arxiv.org/abs/2107.10443 (withdrawn)
Adversarial for Good? How the Adversarial ML Community's Values Impede Socially Beneficial Uses of Attacks
NeurIPS2020に投稿された91件のAdversarial ML関係の論文のBroader Impactを調査.BIの主張をみることで,それぞれの研究の目的や攻撃を良いものととらえてるかなどを調査した.https://arxiv.org/abs/2107.10302
Towards Explaining Adversarial Examples Phenomenon in Artificial Neural Networks
NNに対するAdversarial Exampleの存在と敵対的訓練を収束の観点から研究.回避攻撃と敵対的学習の目的を,学習理論で既に定義されている概念と関連付けたことが貢献.https://arxiv.org/abs/2107.10599
Differentially Private (Gradient) Expectation Maximization Algorithm with Statistical Guarantees
有限サンプルの場合でも統計的保証を持つ最初のDP版(Gradient) Expectation Maximizationアルゴリズムを提案した.https://arxiv.org/abs/2010.13520
Multi-institution encrypted medical imaging AI validation without data sharing
医用画像処理アプリケーションの導入にはプライバシーの問題がある.CrypTFlow2(2-party Computationプロトコルを可能にする最先端のE2Eのコンパイラ)を用いて,機械学習モデルのベンダーと患者データの所有者をつなぐ安全な医療用画像推論のフレームワークを研究する.https://arxiv.org/abs/2107.10230
Formalizing Distribution Inference Risks
訓練済み機械学習モデルからその学習データセットの性質を推論するproperty inference attackをかっちり定式化した.この攻撃における敵対者の目的が特定の訓練データセットではなく訓練分布であるという点が重要なポイントである.https://arxiv.org/abs/2106.03699
Federated Learning using Smart Contracts on Blockchains, based on Reward Driven Approach
連合学習の貢献者に報酬を透明に分配するためにブロックチェーンを利用する."federated contribution"という量を定義し,貢献者のためのインセンティブルールを設計した.https://arxiv.org/abs/2107.10243
Secure Random Sampling in Differential Privacy
差分プライバシーは実数値を浮動小数点数に近似することに起因する統計的な攻撃に対する脆弱性が指摘されていた[Mironov'12].複数の乱数からサンプルを生成することでこの攻撃を防ぐ手法を提案する.この手法は単精度や半精度の浮動小数点などのシステムにも拡張可能である.https://arxiv.org/abs/2107.10138
How Lightning's Routing Diminishes its Anonymity
Bitcoinの送受信のscalability問題を解決するLightningはオニオンルーティングを使用して送信者と受信者を秘匿する.しかし,支払いが発生すると送信者と受信者を結ぶパスが短くなるよう最適化されてしまう.このような最適化によって送受信者の匿名性を破れるか調査した.https://arxiv.org/abs/2107.10070
Fast and Scalable Adversarial Training of Kernel SVM via Doubly Stochastic Gradients
カーネルSVMに敵対的学習を行い,頑健性を向上させたAdv-SVMを提案.Doubly Stochastic Gradientsという最適化を行う.ある条件の元,最適解に収束することを証明した.実験では,これが様々な攻撃に対し頑健でかつ,従来手法と同じ効率性とscalabilityを持つことを示した.https://arxiv.org/abs/2107.09937
On the Modulus in Matching Vector Codes
k-query locally decodable codeとしてmatching vector codes(MVC)が最も有名である.ある数mがr種の異なる素数のべき乗の積で表現できるとしたとき,k<2^rが実現できると,そのmは効率的なMVCを与える.このような良いmを明示的に見つける手法を提案.https://arxiv.org/abs/2107.09830
Defending against Reconstruction Attack in Vertical Federated Learning
FLにおける垂直方向の入力漏洩攻撃を防御する方法を提案.敵対的再構成,ノイズ正則化,距離相関最小化の3つの工夫が盛り込まれた敵対的学習をベースとした手法で防ぐらしい.産業用オンライン広告データセットを用いた実験ではいい感じだったらしい.https://arxiv.org/abs/2107.09898
NeurObfuscator: A Full-stack Obfuscation Tool to Mitigate Neural Architecture Stealing
サイドチャネル情報などを用いてNNモデルのアーキテクチャ(層数,次元数)を推定する攻撃の対策,NeurObfuscatorを提案.NNアーキテクチャの難読化.攻撃はタイミング攻撃,DRAM攻撃,Cache攻撃を想定.遺伝的アルゴリズムで最適な難読化を導出.https://arxiv.org/abs/2107.09789
Using Undervolting as an On-Device Defense Against Adversarial Machine Learning Attacks
Adversarial Exampleによる攻撃の対策.DNNの推論プロセスを実行するチップに対して,制御された低電圧化を行うことで限られた範囲内で計算にノイズを加える.これによってAEを修正したり,検知したりできるらしい.https://arxiv.org/abs/2107.09804
Private Alternating Least Squares: Practical Private Matrix Completion with Tighter Rates
推薦アルゴリズムを作るのに重要な行列補完を行うためのAlternating Least Squaresというアルゴリズムを差分プライベートにした.DP-SGDで差分プライベートにする手法は使い物にならないらしい.https://arxiv.org/abs/2107.09802
Ergodic dynamical systems over the Cartesian power of the ring of p-adic integers
p進整数環の直和上のエルゴード1リプシッツ変換を用いた疑似乱数を提案.p=2の場合はV. Anashinらがやっていて,ストリーム暗号のストリーム鍵生成器における線形フィードバック・シフト・レジスタに代わると期待されている.一般のpになると特に嬉しいとは書いてなかった笑.https://arxiv.org/abs/2107.09059
Image-Hashing-Based Anomaly Detection for Privacy-Preserving Online Proctoring
オンライン試験監督はオンライン教育において不可欠なものとなっている.試験を受ける学生のプライバシーを保護しつつ,不正を検知する手法を提案.顔部分にモザイクをかけ,そのハッシュ値で異常検知し,必要に応じて人間がモザイク付きの顔動画を確認するという二段階運用.https://arxiv.org/abs/2107.09373
RansomClave: Ransomware Key Management using SGX
ランサムウェアは被害者端末上で暗号化の鍵を生成することが多いので,被害者はこれをうまく利用して暗号を解除することができる.それから逃げるためにPC内のSGXのようなセキュア領域(enclave)を利用するランサムウェアの脅威が指摘されており,このような脅威を調査した.https://arxiv.org/abs/2107.09470
GNN4IP: Graph Neural Network for Hardware Intellectual Property Piracy Detection
集積回路の知的財産(IP)を保護するため,回路間の類似性から不正コピーを判定するGNN4IPを提案した.ハードウェア設計をグラフとして表現しGNNで学習させ,判定する.独自に集めたデータでの実験では96%でコピーを見抜き,難読化されても100%の精度でオリジナルを見抜いた.https://arxiv.org/abs/2107.09130
Higher-degree supersingular group actions
ガロア共役に対するd-isogenyを持った超特異な楕円曲線の同種グラフを調査した.CSIDH暗号システムやDelfs-Galbraithアルゴリズムの一般化を含む、同種写像ベースの暗号におけるこれらのグラフの建設的および破壊的な側面を調査する.https://arxiv.org/abs/2107.08832
MEGEX: Data-Free Model Extraction Attack against Gradient-Based Explainable AI
勾配ベースの説明可能なAIに対するクエリデータ収集が不要なModel Extraction攻撃の提案.Vanilla Gradが説明として出力するモデルの推論の勾配を,攻撃者が悪用しクエリデータを生成する生成モデルを効率的に学習させる.モデルの解釈性と盗み易さのトレードオフに注目した.https://arxiv.org/abs/2107.08909
Structural Watermarking to Deep Neural Networks via Network Channel Pruning
DNNのパラメータを細工するのではなく,チャネル・プルーニングを利用してNNに透かしを埋め込む構造的電子透かし方式を提案した.電子透かしで制御されたpruning rateで刈り,抽出時はそのrateを推定して透かしを抽出する.従来の一般的な変換や攻撃に対しても耐性があった.https://arxiv.org/abs/2107.08688
LAORAM: A Look Ahead ORAM Architecture for Training Large Embedding Tables
クラウド上で推薦モデルを学習する際のユーザー入力のプライバシーを保護(アクセスパターンを秘匿)するLook Ahead ORAMを提案.複数のデータブロックをスーパーブロックにまとめて同一パスの割り当てし,一アクセス当たりのreads/writesの回数を減らす.https://arxiv.org/abs/2107.08094
Differentially Private Bayesian Neural Networks on Accuracy, Privacy and Reliability
ベイジアンNN(BNN)にDPを適用した際のトレードオフをちゃんと分析した.DP-SGLD,DP-BBP,DP-MC Dropoutの3つを提案.DP-SGDとDP-SGLDの間にある種の等価性があることを示した.DP-BNNをいろいろな観点から広範な実験を行った.同じ安全性の元,従来より精度良かった.https://arxiv.org/abs/2107.08461
Renyi Differential Privacy of the Subsampled Shuffle Model in Distributed Learning
分散学習化でのサブサンプリングシャッフルモデルのプライバシーを最適にした際のトレードオフを求めた.Renyi Differential Privacyを使って理論評価をした.https://arxiv.org/abs/2107.08763
Differentially Private Naive Bayes Classifier using Smooth Sensitivity
naive bayesをDP化した.特にパラメータに対するsmooth sensitivityに注目してノイズを設定.global sensitivityに基づくノイズを加えた先行研究と比較.実世界のデータセット(Adultとかキノコとか)を用いた実験では同じ安全性のもと大幅に精度が上がった.https://arxiv.org/abs/2003.13955
A Survey on Data-driven Software Vulnerability Assessment and Prioritization
Data-drivenなソフトウェアに対する脆弱性の評価や優先順位に関して先行研究をサーベイし指針を示した.https://arxiv.org/abs/2107.08364
EvilModel: Hiding Malware Inside of Neural Network Models
攻撃者は自作のNNのモデルに対して,精度を落とさない程度に重みの一部にmalwareとなる情報を埋め込む.それを散布し,ダウンロードしているユーザの端末で悪さをする.実験では、178MBのAlexNetモデルに36.9MBのマルウェアを1%の精度低下で埋め込むことができた.https://arxiv.org/abs/2107.08590
BRR: Preserving Privacy of Text Data Efficiently on Device
端末側でのテキストデータのプライバシー保護の提案.単語ベクトルの空間においてMetric Differential privacyというDPの一般化(2013)を満たす,バイナリRandomized Responseを提案.Madlibという既存手法(単語ベクトルにラプラスノイズをかける)と比較していい結果.https://arxiv.org/abs/2107.07923
DAWN: Dynamic Adversarial Watermarking of Neural Networks
Model Extraction攻撃に対する動的かつ電子透かし的な防御の提案.クエリの応答に上手にノイズを入れ攻撃者の復元モデルにwatermarkingを埋め込む.またそれが訓練に使ったデータも推定できる(つまり,盗まれたモデルが流通した際誰のクエリデータで作られたか推定できる)https://arxiv.org/abs/1906.00830
TEM: High Utility Metric Differential Privacy on Text
NLPモデルのDP化として,DPを距離空間に一般化したMetric DPが有名.これの距離関数に任意性を持たせたTruncated Exponential Mechanismという手法を提案.これで入力空間分布の特徴を反映させられるらしく有用性が上がるらしい.https://arxiv.org/abs/2107.07928
Adversarial Transferability in Wearable Sensor Systems
wearable sensor systemsに対するadversarial examplesの転移性を研究した.①機械学習モデル間の転移性,②ユーザー間の転移性,③装着位置間の転移性,④データセット間の転移性をチェック.多くの場合untarget型のAEはうまくいき,target型はうまくいかない結果になった.https://arxiv.org/abs/2003.07982
Subnet Replacement: Deployment-stage backdoor attack against deep neural networks in gray-box setting
DNNの実装段階でback door攻撃を実際に行えるかを検討.限られた数のモデルパラメータを直接変更することでDNNにバックドアを埋め込むことができるSubnet Replacement Attackを提案した.攻撃者は被害モデルの構造は知りつつもパラメータは知らないというgray-box設定.https://arxiv.org/abs/2107.07240
Improving Security in McAdams Coefficient-Based Speaker Anonymization by Watermarking Method
音声のプライバシーを保護の研究.McAdams係数に基づくspeaker匿名化を改善するため,音声電子透かしの手法を用いた方法を提案した.具体的には,匿名化された音声に電子透かしを埋め込むことで,音声のオリジナリティを識別したり,音声の偽装を防止したりするようにした.https://arxiv.org/abs/2107.07223
On the impossibility of non-trivial accuracy under fairness constraints
MLの公平性と精度にはトレードオフの関係がある.これに対して,Hardtらは精度と両立するようなequal opportunities (EO)という概念を提案した.入力データの性質によってうまくいったりいかなかったりする(?)ことを示した.https://arxiv.org/abs/2107.06944
Towards Quantifying the Carbon Emissions of Differentially Private Machine Learning
機械学習を差分プライバシー化すると学習の精度が落ちたり,収束速度が落ちる.こうした収束速度の遅延や学習の失敗の影響を二酸化炭素排出量の観点から調査した.CO2排出量とプライバシーレベルのバランスの観点から新たな指針を示した.https://arxiv.org/abs/2107.06946
Privacy Preserving Gaze Estimation using Synthetic Images via a Randomized Encoding Based Framework
VR技術の発展などによりeye tracking dataに注目が集まっているが,これはタスク熟練度や疲労度,性格,生体情報など多くの個人情報を含んでいる.差分プライバシは汎用的だが分析精度が落ちてしまうので,SVRモデルを使ってプライバシを保護するフレームワークを提案した.https://arxiv.org/abs/1911.07936
Self-Determined Reciprocal Recommender System with Strong Privacy Guarantees
局所差分プライバシーを適用した分散型の推薦システムの提案.ユーザは個人のデータを局所差分プライベートにプロファイルし,それをP2Pで交換し類似度に基づいた推薦を受ける.職業推薦などのデータを用いた実験で許容できる実用性を出した.https://arxiv.org/abs/2107.06590
A Distance Measure for Privacy-preserving Process Mining based on Feature Learning
イベントログに基づくプロセス分析をする際,プロセス実行に関する個人のプライバシーを保護する匿名化がある.その匿名化の有用性を上げるために,feature learningに基づいた距離を用いた匿名化を提案.https://arxiv.org/abs/2107.06578
On SDVS Sender Privacy In The Multi-Party Setting
Strong designated verifier signature schemesは送信者のプライバシーに基づいて署名の作成者の身元を隠すことができる.これを2パーティの設定からnパーティの設定に拡張する.その拡張がちゃんと機能するとき弱くなる時も検討した.https://arxiv.org/abs/2107.06119
EvoBA: An Evolution Strategy as a Strong Baseline for Black-Box Adversarial Attacks
Black-Boxモデルに対するAdversarial Example生成アルゴリズムEvoBAを提案.シンプルな進化的探索戦略で,AutoZOOMなどの既存Black-Box攻撃と同様の精度.SimBA(L2距離ベース),DeepSearch(L∞ベース)に対して,L0距離ベースを採用している.https://arxiv.org/abs/2107.05754
Detect and Defense Against Adversarial Examples in Deep Learning using Natural Scene Statistics and Adaptive Denoising
DNNをAE攻撃から守るフレームワークの提案.検知とノイズ除去の2段構え.natural scene statistic (NSS)でAEを特徴づけることでAEを検出できるようにした.ブロックマッチング3Dフィルタを用いて,AEを元のデータに投影する.https://arxiv.org/abs/2107.05780
Covariance's Loss is Privacy's Gain: Computationally Efficient, Private and Accurate Synthetic Data
「計算効率が高く、証明可能なプライバシー保証を備え、データの有用性を厳密に定量化する合成データ生成法を開発する」というNP-hard問題に取り組んだ.この問題を緩和させたものを共分散の損失に注目することで解決した.https://arxiv.org/abs/2107.05824
Stateful Detection of Model Extraction Attacks
MLaaSを通したModel Extraction攻撃を検知する手法VarDetectの提案.VAEを使ってクエリパターンを学習.異常なクエリを検知するステートフルな手法.VarDetectの実装を知っている適応的な攻撃者でも検知できるらしい.https://arxiv.org/abs/2107.05166
FakeTagger: Robust Safeguards against DeepFake Dissemination via Provenance Tracking
FakeTaggerというDeepFake対策を提案.深層学習ベースの方式で,エンコーダを使い顔写真にメッセージを埋め込む(電子透かし的な?).その画像を用いて作られたDeepFakeに対しデコーダを用いてメッセージを取り出すことで,違うぞと立証できるようにするらしい.https://arxiv.org/abs/2009.09869
Attack Rules: An Adversarial Approach to Generate Attacks for Industrial Control Systems using Machine Learning
adversarial trainingはモデルの頑健性向上だけでなく,新たな攻撃発見にも用いられる.特に産業用制御システムに対して,association rule mining-basedの攻撃生成技術を提案した.30万通りくらい新しい攻撃を発見したらしい.https://arxiv.org/abs/2107.05127
BLINDTRUST: Oblivious Remote Attestation for Secure Service Function Chains
従来のremote attestationなどの認証ソリューションは検証者が信用できることを強く仮定しているため,プライバシーを保持した完全性の正しさを実現できなかったり,スケーラビリティに問題を抱えている.こういった問題を解決するような(?)検証方式を提案した.https://arxiv.org/abs/2107.05054
Online Template Attacks: Revisited
楕円曲線のスカラー倍算アルゴリズムへのサイドチャネル攻撃,オンラインテンプレート攻撃(OTA)を再考する研究.なんかいくつかの設定で脅威があることを実証したらしい.https://arxiv.org/abs/2007.05337
Putting words into the system's mouth: A targeted attack on neural machine translation using monolingual data poisoning
ニューラル機械翻訳システムに対するpoisoning攻撃を2通りほど提案.訓練データの0.02%ほどの入力で十分であること示す.防御案も提案し,問題を部分的に解決した.https://arxiv.org/abs/2107.05243
On the undecidability of the Panopticon detection problem
Oracle Turing Machineを用いて、現代のICTベースのパノプティコン(全部を監視する存在)を検出することは、決定不可能な問題であることを示した.https://arxiv.org/abs/2107.05220
Private Graph Data Release: A Survey
プライバシー保護したグラフ解析の手法のサーベイ,特に証明可能なprivate graph data release algorithmのについて調査した.differential privacyが主だが,他にもPufferfish Privacyなどの観点でも調査している.ユースケースもいろいろ調べてある.https://arxiv.org/abs/2107.04245
Differentially private training of neural networks with Langevin dynamics for calibrated predictive uncertainty
DP-SGDが守りすぎの可能性があることを示す.NN学習のためのスケーラブルなベイジアン推論手法であるstochastic gradient Langevin dynamicsとDP-SGDの類似性に着目し、DP-SGDをわずかに変形することでdifferentially private Bayesian NNを学習できることを示した.https://arxiv.org/abs/2107.04296
Sensitivity analysis in differentially private machine learning using hybrid automatic differentiation
DPメカニズムの最適化に重要なsensitivityを自動で測るautomatic differentiationの提案.統計的データベースクエリに関する実験もした.NNへの適用も検討した.https://arxiv.org/abs/2107.04265
Learning to Detect Adversarial Examples Based on Class Scores
class scoresをSVMに学習させることでAdversarial Exampleを検知するを方法を提案する.https://arxiv.org/abs/2107.04435
Understanding the Security of Deepfake Detection
Deepfakeの検出(顔抽出+顔分類)が敵対的な設定だとどれくらい落ちるかを検証(従来の研究は非敵対的な設定).①敵対的なガウシアンノイズを加えると顔抽出がうまくいかない.②あるDFで学習したものは別のDFを検出できない.③バックドア攻撃でも回避できてしまう.https://arxiv.org/abs/2107.02045
Towards a Trusted Execution Environment via Reconfigurable FPGA
TEEの問題点を改善するため,TEEOD(Trusted Execution Environments On-Demand)を提案した.ヘテロジニアスシステムオンチップ(SoC)のプログラマブルロジックをセキュアな実行環境として活用する新しいTEEデザイン.PoC実装もした.https://arxiv.org/abs/2107.03781
RoFL: Robustness of Secure Federated Learning
FLで悪意あるクライアントに耐性をもつ集約プロトコルの提案.暗号的なプロトコルを用いて,モデル更新時に様々な性質や制約を持たせられるようにした.(ゼロ知識証明などで,クライアントが持っているパラメータのノルムの大きさを確かめたりするらしい?)https://arxiv.org/abs/2107.03311
Understanding Intrinsic Robustness Using Label Uncertainty
Adversarial Examples耐性の新しい測り方の提案.従来は確信度の集中度でやっていたが,ラベルの不確実性の新しい定義(定義4.1)を導入して,それによる密度推定を提案した.こっちの方がエラー領域をよく見つけられるらしい.https://arxiv.org/abs/2107.03250
Output Randomization: A Novel Defense for both White-box and Black-box Adversarial Models
出力をランダム化することでAdversarial Example生成耐性がどれくらいつくかを検証した.ブラックボックス設定下,ホワイトボックス設定下でそれぞれの攻撃に対する耐性を検証した.https://arxiv.org/abs/2107.03806
Oblivious Median Slope Selection
傾きの中央値の選択問題(平面上の一般の位置のn個の点に対しその中の2点を通る直線の傾き全体の集合の中央値を見つける問題)をORAMで計算量O(n(logn)^2)で解く方法を提案した.これは一般的なoblivious変換によって得られる理論的な上限値と一致する.https://arxiv.org/abs/2107.03193
Immunization of Pruning Attack in DNN Watermarking Using Constant Weight Code
DNNの知財保護のために電子透かしを埋め込む手法があるが,これはモデル内の重要度の低い枝を刈り込むpruning攻撃によってかわされてしまうことが報告されいる.これに対して,このようなpruningでダメにならない透かしの埋め込み方を提案した.https://arxiv.org/abs/2107.02961
RAILS: A Robust Adversarial Immune-inspired Learning System
適応免疫系に着想を得たAdversarial Examplesの防御方法,RAILSを提案.推論機能(プラズマB細胞)と将来の攻撃に備えたデータ生成機能(メモリB細胞)を進化的に最適化する.免疫学的な観点からロバスト性と精度のトレードオフを記述.https://arxiv.org/abs/2107.02840
Bi-Level Poisoning Attack Model and Countermeasure for Appliance Consumption Data of Smart Homes
家庭用電化製品から得られるエネルギー使用量の回帰モデルに対する2段階のpoisoning攻撃の調査と対策の提案.通信に対する攻撃とMLモデルに対する攻撃の2段階.https://arxiv.org/abs/2107.02897
Laptop Theft in a University Setting can be Avoided with Warnings
大学などの教育機関でのノートパソコンの盗難が問題になっている。Delft University of Technologyの自習室での実験では、シンプルな警告表示でノートパソコンを放置して離席する率が75.5%から59.1%に減ったらしい。https://arxiv.org/abs/1907.08083
On Search Complexity of Discrete Logarithm
離散対数問題を解の探索問題と捉えてTFNPという探索問題のクラスの観点から考察した?DLPを適切に変形すると、PPPとかPPWPとかいうTFNPのサブクラスに対して完全であることを示したらしい?計算量クラスわからん。。。https://arxiv.org/abs/2107.02617
Popcorn: Paillier Meets Compression For Efficient Oblivious Neural Network Inference
Paillier暗号の準同型性を用いて、oblivious推論をするフレームワーク(Popcorn)を提案。通信のオーバーヘッドを大幅に削減したらしい。精度などに関しては特に良くなったとは書いてなかった(と思う)。https://arxiv.org/abs/2107.01786
Poisoning Attack against Estimating from Pairwise Comparisons
pairwise rankingに対する初の体系的なpoisoning攻撃の調査。これらの問題はランキング作成者と攻撃者のゲームとして形式化でき、ある種の整数計画問題としてモデル化できる。さらにこれをdistributionally robust最適化問題と捉え直し、効率的な攻撃の有効性を示した。https://arxiv.org/abs/2107.01854
Smoothed Differential Privacy
smoothed analysisにおける最悪平均ケースの考えに基づいた差分プライバシーの拡張・緩和となる概念smoothed differential privacyを提案する。データベースの最悪ケースではなく、そのとりうる分布に基づいた評価をしている。https://arxiv.org/abs/2107.01559
Optimizing the Numbers of Queries and Replies in Federated Learning with Differential Privacy
DPを用いたFLにおいて、最終的なモデルの精度を最大化するための最適なクエリとリプライの数を研究した。ラプラスメカニズムとガウシアンメカニズムについて収束率を分析することで最適な回数を導出した。実験でもうまくいった。https://arxiv.org/abs/2107.01895
When and How to Fool Explainable Models (and Humans) with Adversarial Examples
説明可能なModelに対するAdversarial Examplesの生成に関する論文。具体的な最適化の設定等はなく、色々な説明可能なモデルに関する視座の高いところからの包括的なサーベイ。お気持ち論文。https://arxiv.org/abs/2107.01943
Towards Scheduling Federated Deep Learning using Meta-Gradients for Inter-Hospital Learning
FLにおけるスケジューリングと教師-生徒(たぶんサーバ-クライアント)間の学習の組み合わせたものを提案した。実験では最先端の精度を達成したらしい。poisoningについても議論してる。https://arxiv.org/abs/2107.01707
Privacy-Preserving Representation Learning on Graphs: A Mutual Information Perspective
相互情報量の観点からプライバシーを保護した学習のためのグラフ表現を提案した。相互情報量の正確な計算は難しいらしいのでNNを使って近似した。https://arxiv.org/abs/2107.01475
Privacy in Distributed Computations based on Real Number Secret Sharing
実数を扱う秘密分散。なんか多少は情報漏れるらしいが漸近的に大丈夫らしい。https://arxiv.org/abs/2107.00911
Gradient-Leakage Resilient Federated Learning
FLで勾配の漏洩がclientのデータ漏洩につながるということは知られている。それを差分プライバシー的になんとかしようと色々提案されている。サーバー側がノイズをかけるFed-SDPでは不十分で、クライアント側がやるFed-CDPの方がいいと示した。いいノイズの入れ方も提案した。https://arxiv.org/abs/2107.01154