EXACT: Extensive Attack for Split Learning

要約

プライバシー保護機械学習 (PPML​​) は、個人情報を利用するモデルのトレーニングと展開に役立ちます。
特に、オンデバイスの機械学習により、推論中にサードパーティのサーバーと情報を共有することを完全に回避できます。
ただし、オンデバイス モデルは、(1) 通常、少数のオンデバイス機能セットのみに依存すること、(2) 効率的に実行するには十分小さい必要があることなどの理由により、サーバーのモデルと比較すると一般に精度が低くなります。
エンドユーザーのデバイス上で。
分割学習 (SL) は、これらの制限を克服できる有望なアプローチです。
SL では、大規模な機械学習モデルが 2 つの部分に分割され、大きな部分はサーバー側に常駐し、小さな部分はデバイス上で実行され、プライベート機能を組み込むことを目的としています。
ただし、このようなモデルのエンドツーエンドのトレーニングでは、カット レイヤーで勾配を交換する必要があり、これによりプライベートな特徴やラベルがエンコードされる可能性があります。
このペーパーでは、SL に関連する潜在的なプライバシー リスクについての洞察を提供し、個人情報を再構築するための新しい攻撃手法 EXACT を紹介します。
さらに、さまざまな緩和戦略の有効性も調査します。
私たちの結果は、勾配が 3 つのデータセットすべてにおいて攻撃者の有効性を大幅に向上させ、一部の特徴についてはほぼ 100% の再構築精度に達することを示しています。
ただし、少量の差分プライバシー (DP) は、トレーニングの大幅な低下を引き起こすことなく、このリスクを軽減するのに非常に効果的です。

要約(オリジナル)

Privacy-Preserving machine learning (PPML) can help us train and deploy models that utilize private information. In particular, on-device Machine Learning allows us to completely avoid sharing information with a third-party server during inference. However, on-device models are typically less accurate when compared to the server counterparts due to the fact that (1) they typically only rely on a small set of on-device features and (2) they need to be small enough to run efficiently on end-user devices. Split Learning (SL) is a promising approach that can overcome these limitations. In SL, a large machine learning model is divided into two parts, with the bigger part residing on the server-side and a smaller part executing on-device, aiming to incorporate the private features. However, end-to-end training of such models requires exchanging gradients at the cut layer, which might encode private features or labels. In this paper, we provide insights into potential privacy risks associated with SL and introduce a novel attack method, EXACT, to reconstruct private information. Furthermore, we also investigate the effectiveness of various mitigation strategies. Our results indicate that the gradients significantly improve the attacker’s effectiveness in all three datasets reaching almost 100% reconstruction accuracy for some features. However, a small amount of differential privacy (DP) is quite effective in mitigating this risk without causing significant training degradation.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google