2025-11-14T05:43:10.071295

Defending Diffusion Models Against Membership Inference Attacks via Higher-Order Langevin Dynamics

Sterling, El-Laham, Bugallo

Recent advances in generative artificial intelligence applications have raised new data security concerns. This paper focuses on defending diffusion models against membership inference attacks. This type of attack occurs when the attacker can determine if a certain data point was used to train the model. Although diffusion models are intrinsically more resistant to membership inference attacks than other generative models, they are still susceptible. The defense proposed here utilizes critically-damped higher-order Langevin dynamics, which introduces several auxiliary variables and a joint diffusion process along these variables. The idea is that the presence of auxiliary variables mixes external randomness that helps to corrupt sensitive input data earlier on in the diffusion process. This concept is theoretically investigated and validated on a toy dataset and a speech dataset using the Area Under the Receiver Operating Characteristic (AUROC) curves and the FID metric.

academic

উচ্চ-ক্রম ল্যাঞ্জেভিন গতিশীলতার মাধ্যমে সদস্যপদ অনুমান আক্রমণের বিরুদ্ধে বিস্তার মডেলগুলি রক্ষা করা

মৌলিক তথ্য

পেপার আইডি: 2509.14225
শিরোনাম: উচ্চ-ক্রম ল্যাঞ্জেভিন গতিশীলতার মাধ্যমে সদস্যপদ অনুমান আক্রমণের বিরুদ্ধে বিস্তার মডেলগুলি রক্ষা করা
লেখক: বেঞ্জামিন স্টার্লিং (স্টোনি ব্রুক বিশ্ববিদ্যালয়), ইউসুফ এল-লাহাম (স্টোনি ব্রুক বিশ্ববিদ্যালয়), মোনিকা এফ. বুগালো (স্টোনি ব্রুক বিশ্ববিদ্যালয়)
শ্রেণীবিভাগ: cs.LG, stat.ML
প্রকাশনার সময়: ২০২৫ সালের ১৬ অক্টোবর (arXiv v2)
পেপার লিঙ্ক: https://arxiv.org/abs/2509.14225

সারসংক্ষেপ

এই পেপারটি উৎপাদনশীল কৃত্রিম বুদ্ধিমত্তা প্রয়োগে উদ্ভূত নতুন ডেটা নিরাপত্তা সমস্যাগুলির সমাধানে মনোনিবেশ করে, বিশেষত সদস্যপদ অনুমান আক্রমণের বিরুদ্ধে বিস্তার মডেলগুলি রক্ষা করার উপর। সদস্যপদ অনুমান আক্রমণ হল এমন একটি আক্রমণ যেখানে আক্রমণকারী নির্ধারণ করতে পারে যে একটি নির্দিষ্ট ডেটা পয়েন্ট মডেল প্রশিক্ষণের জন্য ব্যবহৃত হয়েছে কিনা। যদিও বিস্তার মডেলগুলি অন্যান্য উৎপাদনশীল মডেলের তুলনায় সদস্যপদ অনুমান আক্রমণের বিরুদ্ধে অন্তর্নিহিত প্রতিরোধ ক্ষমতা বেশি, তবুও তাদের দুর্বলতা রয়েছে। এই পেপারে প্রস্তাবিত প্রতিরক্ষা পদ্ধতি সমালোচনামূলকভাবে নিঃশব্দ উচ্চ-ক্রম ল্যাঞ্জেভিন গতিশীলতা ব্যবহার করে, যা একাধিক সহায়ক চলক এবং এই চলকগুলির সাথে যৌথ বিস্তার প্রক্রিয়া প্রবর্তন করে। মূল ধারণাটি হল যে সহায়ক চলকগুলির উপস্থিতি বাহ্যিক র্যান্ডমনেস মিশ্রিত করে, যা বিস্তার প্রক্রিয়ার প্রাথমিক পর্যায়ে সংবেদনশীল ইনপুট ডেটা ধ্বংস করতে সহায়তা করে। এই ধারণাটি তাত্ত্বিক গবেষণা দ্বারা সমর্থিত এবং খেলনা ডেটাসেট এবং কণ্ঠস্বর ডেটাসেটে AUROC বক্ররেখা এবং FID মেট্রিক্স ব্যবহার করে যাচাই করা হয়েছে।

গবেষণা পটভূমি এবং প্রেরণা

সমস্যার সংজ্ঞা

এই গবেষণার মূল সমস্যা হল সদস্যপদ অনুমান আক্রমণ (Membership Inference Attacks, MIA) যা বিস্তার মডেলগুলিকে হুমকি দেয়। সদস্যপদ অনুমান আক্রমণ একটি গোপনীয়তা আক্রমণ যেখানে আক্রমণকারী নির্ধারণ করার চেষ্টা করে যে একটি নির্দিষ্ট ডেটা নমুনা লক্ষ্য মডেল প্রশিক্ষণের জন্য ব্যবহৃত হয়েছে কিনা।

গুরুত্ব বিশ্লেষণ

১. ডেটা গোপনীয়তা সুরক্ষার প্রয়োজনীয়তা: উৎপাদনশীল AI প্রয়োগের দ্রুত বিকাশের সাথে, বিশেষত চিকিৎসা ডেটা এবং সংবেদনশীল বৌদ্ধিক সম্পত্তির ক্ষেত্রে, প্রশিক্ষণ ডেটার গোপনীয়তা রক্ষা করা অত্যন্ত গুরুত্বপূর্ণ হয়ে উঠেছে।

२. বিস্তার মডেলের দুর্বলতা: যদিও বিস্তার মডেলগুলি GAN এবং অন্যান্য উৎপাদনশীল মডেলের তুলনায় ভাল অন্তর্নিহিত আক্রমণ প্রতিরোধ ক্ষমতা রাখে, তবুও তারা পিছনের দরজা আক্রমণ, সদস্যপদ অনুমান আক্রমণ এবং প্রতিকূল আক্রমণের জন্য সংবেদনশীল।

३. বিদ্যমান প্রতিরক্ষা পদ্ধতির সীমাবদ্ধতা: বর্তমান প্রধান প্রতিরক্ষা উপায় যেমন পার্থক্য গোপনীয়তা বিস্তার মডেল (DPDM) গোপনীয়তা-কার্যকারিতা বাণিজ্য সমস্যা বিদ্যমান, অর্থাৎ গোপনীয়তা সুরক্ষা স্তর উৎপাদিত নমুনার গুণমানের সাথে সরাসরি সম্পর্কিত।

গবেষণা প্রেরণা

বিদ্যমান সদস্যপদ অনুমান আক্রমণ প্রতিরক্ষা প্রধানত পার্থক্য গোপনীয়তা, L2 নিয়মিতকরণ এবং জ্ঞান পাতন অন্তর্ভুক্ত করে। এই পেপারের প্রেরণা হল একটি নতুন প্রতিরক্ষা কৌশল অন্বেষণ করা, সরাসরি ডেটা বৃদ্ধি বা কঠোর পার্থক্য গোপনীয়তা সীমাবদ্ধতা ছাড়াই বিস্তার প্রক্রিয়ার কাঠামো উন্নতির মাধ্যমে গোপনীয়তা সুরক্ষা বৃদ্ধি করা।

মূল অবদান

१. সমালোচনামূলকভাবে নিঃশব্দ উচ্চ-ক্রম ল্যাঞ্জেভিন গতিশীলতা (HOLD++) এর উপর ভিত্তি করে একটি নতুন প্রতিরক্ষা কাঠামো প্রস্তাব করা, সহায়ক চলক প্রবর্তনের মাধ্যমে সদস্যপদ অনুমান আক্রমণের প্রতিরোধ ক্ষমতা বৃদ্ধি করা।

२. HOLD++ এর Rényi পার্থক্য গোপনীয়তা তাত্ত্বিক গ্যারান্টি প্রতিষ্ঠা করা, প্রমাণ করা যে গোপনীয়তা ক্ষতি বিস্তার প্রক্রিয়ার শুরুতে সর্বোচ্চ এবং সময়ের সাথে একঘেয়েভাবে হ্রাস পায়।

३. সহায়ক চলক এবং গোপনীয়তা সুরক্ষার সম্পর্ক প্রকাশ করা, প্রমাণ করা যে গড় বর্গ ত্রুটি β, L^(-1) এবং n এর মতো পরামিতি সামঞ্জস্য করে "সামঞ্জস্য" করা যায়।

४. সুইস রোল খেলনা ডেটাসেট এবং LJ স্পিচ কণ্ঠস্বর ডেটাসেটে পদ্ধতির কার্যকারিতা যাচাই করা, AUROC এবং FID মেট্রিক্স ব্যবহার করে প্রতিরক্ষা প্রভাব এবং উৎপাদন গুণমান মূল্যায়ন করা।

পদ্ধতি বিস্তারিত

কাজের সংজ্ঞা

ইনপুট: প্রশিক্ষণ ডেটাসেট D, বিস্তার মডেল পরামিতি আউটপুট: সদস্যপদ অনুমান আক্রমণের প্রতিরোধ করতে সক্ষম বিস্তার মডেল সীমাবদ্ধতা: উৎপাদন গুণমান বজায় রেখে গোপনীয়তা সুরক্ষা সর্বাধিক করা

মডেল স্থাপত্য

HOLD++ অগ্রগামী প্রক্রিয়া

HOLD++ এর অগ্রগামী স্টোকাস্টিক ডিফারেনশিয়াল সমীকরণ সংজ্ঞায়িত করা হয়:

dx_t = Fx_t dt + G dw

যেখানে:

F = Σ(i=1 থেকে n-1) γ_i(E_{i,i+1} - E_{i+1,i}) - ξE_{n,n}
G = √(2ξL^(-1))E_{n,n}
x_0 = (q_0^T, p_0^T, s_0^T, ...)^T

মূল গাণিতিক অভিব্যক্তি

অগ্রগামী প্রক্রিয়ার গড় এবং সহপ্রসরণ:

μ_t = exp(Ft)x_0
Σ_t = L^(-1)I + exp(Ft)(Σ_0 - L^(-1)I)exp(Ft)^T

নমুনা Cholesky বিয়োজনের মাধ্যমে বাস্তবায়িত:

x_t = μ_t + L_t ε

PIA আক্রমণ অভিযোজন

HOLD++ এর বিরুদ্ধে PIA আক্রমণ সূচক হয়ে ওঠে:

R_{t,p} = ||Fx_t - (1/2)GG^T S_θ(x_t,t)||_p

প্রযুক্তিগত উদ্ভাবন পয়েন্ট

१. সহায়ক চলক প্রবর্তনের মাধ্যমে র্যান্ডমনেস মিশ্রণ: বেগ, ত্বরণ এবং অন্যান্য সহায়ক চলক প্রবর্তনের মাধ্যমে, বিস্তার প্রক্রিয়ার প্রাথমিক পর্যায়ে অতিরিক্ত র্যান্ডমনেস প্রবর্তন করা, যা আক্রমণকারীদের জন্য মূল ডেটা সঠিকভাবে অনুমান করা কঠিন করে তোলে।

२. অ-নির্ধারণীয় স্কোর ফাংশন: HOLD++ এর স্কোর নেটওয়ার্ক শুধুমাত্র শেষ সহায়ক চলকের স্কোর মডেল করে, যা সম্পূর্ণ নির্ধারণীয় আক্রমণকে অসম্ভব করে তোলে।

३. তাত্ত্বিক গোপনীয়তা গ্যারান্টি: কঠোর Rényi পার্থক্য গোপনীয়তা বিশ্লেষণ প্রদান করা, গোপনীয়তা ক্ষতির উপরের সীমা প্রমাণ করা।

পরীক্ষামূলক সেটআপ

ডেটাসেট

१. সুইস রোল ডেটাসেট: দ্বি-মাত্রিক খেলনা ডেটাসেট, তাত্ত্বিক পূর্বাভাস যাচাই করার জন্য ব্যবহৃত। २. LJ স্পিচ ডেটাসেট: প্রকৃত কণ্ঠস্বর ডেটাসেট, Grad-TTS ব্যবহার করে পাঠ্য-থেকে-কণ্ঠস্বর রূপান্তরের জন্য ব্যবহৃত।

মূল্যায়ন মেট্রিক্স

१. AUROC (ROC বক্ররেখার অধীন এলাকা): সদস্যপদ অনুমান আক্রমণের কার্যকারিতা মূল্যায়ন করা।

১.০ এর কাছাকাছি প্রশিক্ষণ/অ-প্রশিক্ষণ ডেটা নিখুঁতভাবে পার্থক্য করতে পারে তা নির্দেশ করে।
০.५ এর কাছাকাছি আক্রমণের কার্যকারিতা র্যান্ডম অনুমানের সমান তা নির্দেশ করে।

२. FID (Fréchet Inception Distance): উৎপাদিত ডেটা গুণমান মূল্যায়ন করা।

তুলনামূলক পদ্ধতি

ঐতিহ্যবাহী বিস্তার মডেল (n=1)
বিভিন্ন ক্রমের HOLD++ (n=2,3,...)
বিভিন্ন বৈচিত্র্য ফ্যাক্টর β এর কনফিগারেশন

বাস্তবায়ন বিবরণ

সুইস রোল পরীক্ষা: ৪০,০০০ প্রশিক্ষণ পুনরাবৃত্তি, ১५-স্তরের সম্পূর্ণ সংযুক্ত নেটওয়ার্ক, ReLU সক্রিয়করণ, স্তর নর্মালাইজেশন।
LJ স্পিচ পরীক্ষা: Grad-TTS স্থাপত্য ব্যবহার করা, n=2 পর্যন্ত সর্বোচ্চ পরীক্ষা (উচ্চতর ক্রম প্রশিক্ষণ কঠিন)।
९५% আত্মবিশ্বাস ব্যবধান পেতে २५ বার পরীক্ষা পুনরাবৃত্তি করা।

পরীক্ষামূলক ফলাফল

প্রধান ফলাফল

সুইস রোল ডেটাসেট

AUROC মডেল ক্রম n এবং বৈচিত্র্য ফ্যাক্টর β বৃদ্ধির সাথে উল্লেখযোগ্যভাবে হ্রাস পায়।
β=2 এবং β=10 এর ९५% আত্মবিশ্বাস ব্যবধান অতিক্রম করে না, যা পরিসংখ্যানগত তাৎপর্য নির্দেশ করে।
উচ্চ-ক্রম মডেল (n>1) ঐতিহ্যবাহী বিস্তার মডেলের তুলনায় গোপনীয়তা সুরক্ষায় স্পষ্টভাবে উন্নত।

LJ স্পিচ ডেটাসেট

পরীক্ষার ফলাফল দেখায় যে n=2 n=1 এর তুলনায় ভাল গোপনীয়তা সুরক্ষা এবং উৎপাদন গুণমান রাখে:

যুগ	FID (n=1)	FID (n=2)	AUROC (n=1)	AUROC (n=2)
30	91.65	77.50	0.503	0.597
60	94.31	62.57	0.686	0.481
90	102.50	65.20	0.869	0.525
180	89.18	57.43	0.949	0.696

বিলোপন পরীক্ষা

মডেল ক্রম n এর প্রভাব: n বৃদ্ধির সাথে, AUROC উল্লেখযোগ্যভাবে হ্রাস পায়, গোপনীয়তা সুরক্ষা বৃদ্ধি পায়।
বৈচিত্র্য ফ্যাক্টর β এর প্রভাব: বৃহত্তর β মান ভাল গোপনীয়তা সুরক্ষা প্রদান করে।
সময় বিতরণ বিশ্লেষণ: গোপনীয়তা দুর্বলতা প্রধানত বিস্তার প্রক্রিয়ার প্রাথমিক পর্যায়ে কেন্দ্রীভূত।

পরীক্ষামূলক আবিষ্কার

१. CIFAR-10 এ অপ্রত্যাশিত ফলাফল: চিত্র ডেটাসেটে AUROC ০.५ এর কাছাকাছি, যা নির্দেশ করে যে ক্রমাগত সময় বিস্তার মডেল নিজেই MIA এর প্রতি শক্তিশালী প্রতিরোধ ক্ষমতা রাখে।

२. কণ্ঠস্বর ডেটার বিশেষত্ব: Mel স্পেকট্রোগ্রাম চিত্রের তুলনায় ডেটা বৃদ্ধি করা আরও কঠিন, যা কণ্ঠস্বর ডেটাকে MIA আক্রমণের জন্য আরও সংবেদনশীল করে তোলে।

३. গুণমান-গোপনীয়তা বাণিজ্য: উচ্চ-ক্রম মডেল ভাল গোপনীয়তা সুরক্ষা প্রদান করার সময় উচ্চতর গুণমানের উৎপাদিত নমুনাও তৈরি করতে পারে।

উপসংহার এবং আলোচনা

প্রধান উপসংহার

१. HOLD++ কার্যকর MIA প্রতিরক্ষা প্রদান করে: সহায়ক চলক দ্বারা প্রবর্তিত র্যান্ডমনেস সদস্যপদ অনুমান আক্রমণের সাফল্যের হার উল্লেখযোগ্যভাবে হ্রাস করে।

२. তাত্ত্বিক গ্যারান্টি এবং ব্যবহারিক যাচাইকরণ সামঞ্জস্যপূর্ণ: Rényi পার্থক্য গোপনীয়তা বিশ্লেষণ পরীক্ষামূলক ফলাফলের সাথে সামঞ্জস্যপূর্ণ।

३. গুণমান-গোপনীয়তা দ্বৈত উন্নতি: কিছু ক্ষেত্রে, উচ্চ-ক্রম মডেল একই সাথে উৎপাদন গুণমান এবং গোপনীয়তা সুরক্ষা উন্নত করে।

সীমাবদ্ধতা

१. প্রশিক্ষণ জটিলতা বৃদ্ধি: উচ্চ-ক্রম মডেলের প্রশিক্ষণ আরও কঠিন, বিশেষত জটিল ডেটাসেটে।

२. পরামিতি সমন্বয়ের জটিলতা: মডেল ক্রম n, বৈচিত্র্য ফ্যাক্টর β এবং গোপনীয়তা পরামিতি ε_num এর মধ্যে ভারসাম্য প্রয়োজন।

३. সীমিত উচ্চ-ক্রম যাচাইকরণ: প্রকৃত ডেটাসেটে শুধুমাত্র n=2 পর্যন্ত যাচাই করা হয়েছে, উচ্চতর ক্রমের প্রভাব সম্পূর্ণভাবে যাচাই করা হয়নি।

ভবিষ্যত দিকনির্দেশনা

१. আরও দক্ষ উচ্চ-ক্রম মডেল প্রশিক্ষণ পদ্ধতি অন্বেষণ করা। २. অন্যান্য ধরনের উৎপাদনশীল মডেলের উচ্চ-ক্রম গতিশীলতা প্রয়োগ গবেষণা করা। ३. স্ব-অভিযোজনশীল পরামিতি নির্বাচন কৌশল বিকাশ করা।

গভীর মূল্যায়ন

সুবিধা

१. তাত্ত্বিক উদ্ভাবন শক্তিশালী: উচ্চ-ক্রম ল্যাঞ্জেভিন গতিশীলতা এবং গোপনীয়তা সুরক্ষা চতুরভাবে একত্রিত করা, নতুন তাত্ত্বিক দৃষ্টিভঙ্গি প্রদান করা।

२. গাণিতিক বিশ্লেষণ কঠোর: সম্পূর্ণ Rényi পার্থক্য গোপনীয়তা প্রমাণ এবং গোপনীয়তা ক্ষতি উপরের সীমা বিশ্লেষণ প্রদান করা।

३. পরীক্ষামূলক ডিজাইন যুক্তিসঙ্গত: খেলনা ডেটাসেট থেকে প্রকৃত ডেটাসেটে ক্রমবর্ধমান যাচাইকরণ কৌশল বৈজ্ঞানিকভাবে কার্যকর।

४. ব্যবহারিক মূল্য উচ্চ: ঐতিহ্যবাহী পার্থক্য গোপনীয়তা ছাড়াই নতুন প্রতিরক্ষা চিন্তাভাবনা প্রদান করা।

অপূর্ণতা

१. পরীক্ষামূলক স্কেল সীমিত: শুধুমাত্র দুটি ডেটাসেটে যাচাই করা হয়েছে, বড় আকারের ডেটাসেটের পরীক্ষা অনুপস্থিত।

२. গণনা খরচ বিশ্লেষণ অনুপস্থিত: উচ্চ-ক্রম মডেল দ্বারা আনা অতিরিক্ত গণনা খরচ বিস্তারিতভাবে বিশ্লেষণ করা হয়নি।

३. অন্যান্য প্রতিরক্ষা পদ্ধতির সাথে তুলনা অপর্যাপ্ত: প্রধানত ঐতিহ্যবাহী বিস্তার মডেলের সাথে তুলনা করা হয়েছে, DPDM এর মতো পদ্ধতির সাথে সরাসরি তুলনা অনুপস্থিত।

४. পরামিতি সংবেদনশীলতা বিশ্লেষণ অপর্যাপ্ত: মূল হাইপারপ্যারামিটার নির্বাচনের জন্য স্পষ্ট নির্দেশনা অনুপস্থিত।

প্রভাব

१. একাডেমিক অবদান: বিস্তার মডেল গোপনীয়তা সুরক্ষার জন্য নতুন তাত্ত্বিক কাঠামো এবং ব্যবহারিক পদ্ধতি প্রদান করা।

२. ব্যবহারিক মূল্য: চিকিৎসা, আর্থিক এবং অন্যান্য সংবেদনশীল ডেটা ক্ষেত্রে গুরুত্বপূর্ণ প্রয়োগ সম্ভাবনা।

३. পুনরুৎপাদনযোগ্যতা: লেখক খোলা উৎস কোড প্রদান করেছেন, গবেষণা পুনরুৎপাদন এবং সম্প্রসারণ সহজ করা।

প্রযোজ্য পরিস্থিতি

१. সংবেদনশীল ডেটা উৎপাদন: চিকিৎসা চিত্র, কণ্ঠস্বর সংশ্লেষণ এবং অন্যান্য গোপনীয়তা জড়িত উৎপাদন কাজ।

२. ফেডারেটেড লার্নিং পরিবেশ: ডেটা গোপনীয়তা রক্ষা করার সময় সহযোগিতামূলক প্রশিক্ষণ প্রয়োজন।

३. শিল্প প্রয়োগ: বৌদ্ধিক সম্পত্তি সুরক্ষার জন্য কঠোর প্রয়োজনীয়তা সহ উৎপাদনশীল মডেল স্থাপনা।

সংদর্ভ

এই পেপারটি ১७টি গুরুত্বপূর্ণ সংদর্ভ উদ্ধৃত করে, যা বিস্তার মডেল মৌলিক তত্ত্ব, সদস্যপদ অনুমান আক্রমণ পদ্ধতি, পার্থক্য গোপনীয়তা প্রযুক্তি এবং উচ্চ-ক্রম ল্যাঞ্জেভিন গতিশীলতা সহ মূল ক্ষেত্রের প্রতিনিধিত্বমূলক কাজ অন্তর্ভুক্ত করে, গবেষণার জন্য দৃঢ় তাত্ত্বিক ভিত্তি প্রদান করে।

সামগ্রিক মূল্যায়ন: এটি বিস্তার মডেল গোপনীয়তা সুরক্ষা ক্ষেত্রে গুরুত্বপূর্ণ উদ্ভাবন তাৎপর্য সহ একটি পেপার। উচ্চ-ক্রম ল্যাঞ্জেভিন গতিশীলতা এবং সদস্যপদ অনুমান আক্রমণ প্রতিরক্ষা একত্রিত করে, এটি উপন্যাস এবং কার্যকর সমাধান প্রদান করে। যদিও পরীক্ষামূলক স্কেল এবং কিছু প্রযুক্তিগত বিবরণে উন্নতির জায়গা রয়েছে, তবে এর তাত্ত্বিক অবদান এবং ব্যবহারিক মূল্য এটিকে এই ক্ষেত্রের একটি গুরুত্বপূর্ণ অগ্রগতি করে তোলে।