データフリー代替攻撃のためのStable Diffusionに基づくレイテントコード拡張

データフリー代替攻撃において、Stable Diffusionを利用してデータを生成し、レイテントコード拡張によりターゲットモデルのデータ分布に合わせることで、効率的かつ高精度な代替モデル訓練を実現する。

本論文では、データフリー代替攻撃の問題に対して、Stable Diffusion (SD)を利用してデータを生成し、レイテントコード拡張 (LCA)によりターゲットモデルのデータ分布に合わせることで、効率的かつ高精度な代替モデル訓練を実現する手法を提案している。 具体的には以下の2段階で進める: Stage 1: SDを用いてクラスラベルに基づきデータを生成する メンバーシップ推定 (MI)を用いて、ターゲットモデルの訓練データに最も近いメンバーデータを特定する メンバーデータのレイテントコードをコードブックに格納する Stage 2: LCAを用いてコードブックのレイテントコードを拡張し、SDの生成ガイダンスとして利用する 拡張されたレイテントコードに基づきSDが生成したデータを用いて代替モデルを訓練する 実験の結果、提案手法はGANsベースの既存手法と比較して、より高い攻撃成功率と少ないクエリ予算で優れた性能を示すことが確認された。特に、クラス数の多いデータセットにおいて顕著な改善が見られた。これは、SDの高品質な生成能力と、LCAによるターゲットモデルのデータ分布への適合性の向上によるものと考えられる。

生成データの各クラスの正解率は10%以下と大きなばらつきがあるが、LCAを用いることで平均正解率が向上し、クラス間のばらつきも小さくなる。 LCAを用いた場合の攻撃成功率は、GANsベースの手法と比べて大幅に向上する。

"Since the training data of the target model is not available in the black-box substitute attack, most recent schemes utilize GANs to generate data for training the substitute model. However, these GANs-based schemes suffer from low training efficiency as the generator needs to be retrained for each target model during the substitute training process, as well as low generation quality." "To overcome these limitations, we consider utilizing the diffusion model to generate data, and propose a novel data-free substitute attack scheme based on the Stable Diffusion (SD) to improve the efficiency and accuracy of substitute training."