NeurIPS'24｜新型成员推理方法CLiD：一举破解文生图模型隐私难题

题目 ：Membership Inference on Text-to-Image Diffusion Models via Conditional Likelihood Discrepancy

发表会议 ：NeurIPS 2024

本文是NeurIPS 2024入选论文《Membership Inference on Text-to-Image Diffusion Models via Conditional Likelihood Discrepancy》的中文解读。本文的第一作者翟胜方为北京大学博士生，研究方向为Generative Model Security & Privacy。本文的其他合作者分别来自北京大学、清华大学、西澳大学与南洋理工大学等。

1. Introduction (为什么研究文生图模型的成员推理?)

文生图扩散模型（Text-to-image Diffusion Models）在海量图文数据（Image-text Data）中进行训练，在可控图像生成领域取得巨大成功，而与之伴随的则是更加严重的隐私泄露与数据版权问题 [1,2,3,4]。成员推理（Membership Inference）定义为判断一个给定数据点是否已用于训练该目标模型。成员推理被广泛用于评估模型的隐私泄露，并可以用于检测未经授权数据使用。基于这一背景，本文针对文生图扩散模型上的成员推理任务，并重点考虑以下两个问题：（1）现有的成员推理方法是否在文生图扩散模型真实有效？（2）能否针对文生图扩散模型的训练/微调特性，设计针对性的高效成员推理方法？

主要贡献

① 本文考虑了全面且现实的文生图模型成员推理实验设定，通过参考官方代码的训练步数防止过度训练并严格消除分布偏移，评估了当前面向文生图模型的成员推理在真实场景下的效果，揭示了现有工作的成功幻觉（Hallucination Success）。

② 本文首次发现并广泛验证了文生图扩散模型训练的条件过拟合（Conditional Overfitting）现象，有助于进一步理解条件扩散模型的训练过程。

③ 基于上述现象，本文解析地推导出用于评估模型对图文样本记忆的指示器 CLiD （ C onditional Li kelihood D iscrepancy），并基于此设计两种具体的成员推理方法。实验评估显示，本文方法在成员推理的效果和面对数据增强等的鲁棒性方面均优于现有工作。

2. Background

2.1 成员推理任务的形式化

对于 传统机器学习任务 ，给定数据 \mathcal{M}$表示为:

其中 表示指示器（Indicator）函数（例如最常见的：损失函数）； 表示阈值参数阈值参数，用于决定成员推理的判别边界。

对于 文生图模型 ，给定图文数据对 ，其成员推理任务 则表示为：

注：本文也考虑了只有图像数据的情况下， 针对文生图模型进行成员推理的设定（参见下文/原文4.6节）。

2.2 扩散模型 (Diffusion Models)

扩散模型的主要思想是在前向过程添加高斯噪音，使得图片逐步逼近标准正态分布，然后训练模型学习逆过程来逐步去噪。对于无条件生成的扩散模型，如DDPM[9]，其损失函数通过优化对数似然的证据下界（ E vidence L ower Bo und，ELBO）来得到：

而对于条件生成的扩散模型，如Stable Diffusion[10]，其损失函数通过优化相应的条件对数似然的ELBO来得到：

除了训练过程，在后文中，本文也通过ELBO来近似估计扩散模型的似然（Likelihood）

3. Related Works

扩散模型作为研究热点，现阶段已有部分工作探索在其上的成员推理，然而并不能良好适配文生图扩散模型：[5]提出了基于似然比（Likelihood Ratio Attack）的成员推理方法，然而该方法由于需要训练大量阴影模型（Shadow Model）导致存在高计算开销，无法扩展（Scale-up）到文生图扩散模型上；[6,7,8]提出了基于查询的成员推理，计算开销更小，可以扩展到文生图扩散模型。但是由于评估设定不合理而导致的成功幻觉，使其在更真实的文生图任务场景下达不到相对满意的效果。

4. 本文方法

针对现有挑战，本文提出了一种基于 条件似然差异 （ C onditional Li kelihood D iscrepancy, CLiD）的成员推理方法。在后文中，本文首先引入文生图模型训练过程中观察到的关键现象—— 条件过拟合 （Conditional Overfitting），这一现象为理解模型的训练行为提供了新的视角。然后在此基础上，本文推导出一种适用于文生图扩散模型的成员推理指示器。最后，基于该指示器，本文设计了两类具体的成员推理方法，有效提升了真实场景下的成员推理性能。

4.1 关键直觉—条件过拟合现象

回想无条件生成模型（例如DDPM、GAN）的训练过程，在训练过程中的过拟合现象是指：模型输出分布相比于测试集（又名保留集：hold-out set）会更加偏向训练集（member set）：

在上式中， 和 分别代表成员集和保留集的分布， 代表模型输出分布，该过拟合现象本质上即为现有成员推理任务的直觉基础。

而对于文生图扩散模型（条件扩散模型）的训练过程，本文强调了条件过拟合现象的存在：文生图扩散模型在条件分布上的过拟合要更显著于在边缘分布上的过拟合。其形式化如下：

通过使用不同的分布度量指标（FID等），本文广泛验证了该现象的普适性（见原文图1、图A.1）。

4.2 条件似然差异 CLiD

使用KL散度代入上式，本文可以得到等价形式（证明见附录B）：

其中：

在上式中，忽略 ，根据不等式两边，便得到一个新的能够揭示成员资格的指示器：

由于该指示器实质上是在计算给定数据点在不同条件下的似然差值，所以称其为条件似然差异（ C onditional Li kelihood D iscrepancy，CLiD）。

接下来，本文使用ELBO来估计相关似然值：

其中 代表使用空文本作为条件以近似估计边缘分布。由于该等式右边需要对两个ELBO进行单独蒙特卡洛采样，会导致较高开销。故进一步对该式进行修改，直接对ELBO的差值进行蒙特卡洛采样以减少计算量[11]:

4.3 基于CLiD的成员推理

在实际计算中，本文额外进行如下处理：

① 对文本进行不同程度的裁剪（使用 代表 ），以进一步减小误差：

② 引入对似然的单独估计来增强效果：

注：由于对于似然的估计在前面已经计算过，所以步骤②不会增加任何计算开销。

接下来，本文提出两种成员推理方法，将①和②中得到的不同结果进行合并，分别得到一个标量值或者一个向量值，并据此来区分成员信息（具体计算细节请参考原文）：

一、基于阈值的成员推理方法 ：

二、基于特征向量的成员推理方法 ：

其中 表示分类器的置信度（本文实验中使用XGBoost实现）。

5. 实验设置

合理的实验设置对于评估成员推理方法至关重要。相关工作[12,13]指出：不合理的评估设定可能带来成员推理的成功幻觉。基于此，本文综合考虑先前工作的实验设定和现实角度的实验设定，并考虑微调和预训练两种训练任务，以从多种角度证明本方法的有效性。

5.1 针对微调的成员推理

5.1.1 Over-training setting

本设定完全按照现有工作[6, 8]的实验设置，即使用Stable Diffusion v1-4模型在Pokemon（训练集/保留集：416/417）、MS-COCO（2500/2500）、Flickr（2500/2500）分别微调15,000步、150,000步、150,000步。

5.1.2 Real-world training setting

由于“Over-training”设置中的微调步数高于实际用户通常的微调步数。所以本文参考HuggingFace上的微调代码示例，以20的Steps/image 的比例对微调步数做了修正：即在Pokemon（训练集/保留集：416/417）、MS-COCO（2500/2500）、Flickr（10000/10000）分别微调7500步、50,000步、200,000步；此外本文引入了微调时常用的数据增强方法（Random-Crop和Random-Flip）以进一步模拟真实情况。

5.2 针对预训练的成员推理

针对预训练的成员推理直接检测数据是否被用于Stable Diffusion v1-5模型的预训练。需要注意的是，先前工作[6, 7, 8]通常使用LAION-Aesthetics v2 5+和MS-COCO分别作为训练集与保留集，这会引入分布偏移（Distribution Shift）[13]，而带来成功幻觉。故本文分别使用LAION-Aesthetics v2 5+ 和 LAION-2B MultiTranslated作为训练集与保留集[13]，并对数据集中的文本进一步处理以消除分布偏移（细节参见原文）。

6 实验与分析（完整实验分析见原文）

6.1 主要结果

上表为Over-training设置下的评估效果。从表中可以看到，由于过高的训练步数带来的过高过拟合，所有基线均取得较好效果，本文的方法甚至达到99%的ASR和AUC值。此外，不同Query（不同计算复杂度）的方法体现不出明显的效果差别，所以本文强调： 该实验设定与真实训练（微调）场景不符，不能真实地反映各方法的效果差距。

上表为Real-world training设置下的评估效果。从表中可以看到，根据官方微调示例缩小了训练步数，并添加数据增强方法之后，本文方法相比基线的效果提升显著。

上表为预训练设置下的评估效果。

6.2 有效性轨迹（Effectiveness Trajectory）

在主实验中，可以发现，训练步数对成员推理的指标影响较大。所以本文额外观察在不同微调步数下，成员推理方法的指标变化，如下图所示：

从上图可以观察到，随着训练的进行，