On Adversarial Regularization of Tabular Wasserstein Generative Adversarial Networks

Abstract

I løpet av det siste tiåret har maskinlæring og spesielt dyp læring utviklet seg til å bli et stadig mer brukt verktøy i de digitale tjenestene vi benytter oss av, som dermed gjør at de gjennomsyrer samfunnene og livene våre. Med den økte utbredelsen av maskinlæring i dagens samfunn, har det blitt stilt stadig flere spørsmål til hvor sikre maskinlæringsmodellene egentlig er. Dette inkluderer hemmelighold av informasjonen som brukes til å trene maskinlæringsmodeller, som for eksempel "Generative Adversarial"-Nettverk (GAN). GAN er en type generativ maskinlæringsmodell som kan brukes til å generere syntetisk data som emulerer en ekte datakilde. I nyere tid har det blitt vist at GAN-modeller er sårbare for en del ondsinnede "informasjons-utledende" angrep som sikter seg inn på å utlede informasjon om modellene og datasettene de har blitt trent på. Dette kan være informasjon som ellers er under strengt hemmelighold.

I denne masteroppgaven undersøkes det om "motstanderdrevet regularisering" (En: "adversarial regularization") kan benyttes som et forsvar av GAN-modeller mot en type angrep, kalt "medlemstatusutledende" angrep (En: "membership inference attack", MIA). For å analysere effekten motstanderdrevet regularisering har på en GAN-modells evne til å motstå MIA-er, ble to forskjellige MIA-er brukt til å angripe en spesiell GAN-arkitektur kalt CTGAN, som ble regularisert med motstanderdrevet regularisering. En analyse av de påfølgende resultatene viser at motstanderdrevet regularisering oppnådde blandede resultater i forsøket på å beskytte CTGAN-modellen. På grunn av at motstanderdrevet regularisering er en relativ svak regulariseringsmetode, vises det at motstanderdrevet regularisering i mindre grad lykkes med å øke robustheten til CTGAN-modellen, sammenlignet med en populær, alternativ reguleringsmetode, dropout. Motstanderdrevet regularisering lyktes derimot bedre med å ivareta kvaliteten på den syntetiske dataen som ble produsert av CTGAN-modellen enn dropout og motstanderdrevet regularisering tilbyr dermed et alternativt kompromiss mellom robusthet og datakvalitet, enn nettopp dropout.

In the last decade machine learning and especially deep learning has evolved to be steadily more engrained in the services we rely on in our societies and lives. With the proliferation of machine learning algorithms in today's society, there has been a growing concern for the security guarantees they provide. This includes the security and privacy of datasets used for training Generative Adversarial Networks (GANs). In recent years it has been shown that GANs are susceptible to a plethora of malicious information inferring attacks which aspire to extract information about GANs and their training sets.

This thesis investigates the applicability of adversarial regularization --- a novel regularization method --- on GANs, as a countermeasure to a special breed of information inferring attacks, namely the membership inference attack (MIA). For testing the effect of adversarial regularization on a GAN's ability to withstand MIAs, two different types of MIAs were pitted against a CTGAN --- a GAN architecture which specializes in generating synthetic tabular data. The analysis on the impact of adversarial regularization on the CTGAN show that adversarial regularization had mixed results with defending the CTGAN against MIAs. Due to the lack of regularization power inherent to adversarial regularization, it is shown that adversarial regularization's ability to bolster the CTGAN's robustness to MIAs is subpar to dropout, an alternative regularization method with which it was compared. Adversarial regularization was however shown to provide an alternative utility-privacy trade-off than dropout, since it provided better quality in the synthetic tabular data produced by the CTGAN compared with dropout.