要約
連携学習(Federated Learning: FL)は、複数の関係者が元のユーザーデータではなく勾配情報を共有する、プライバシーを保護する機械学習アプローチとして登場した。最近の研究では、勾配反転攻撃はFLの勾配を悪用して元のユーザーデータを再現することができ、重大なプライバシーリスクをもたらすことが実証されている。しかし、これらの攻撃は、モデル構造やパラメータの変更、バッチ正規化統計量の獲得、元の学習セットに関する事前知識の獲得など、攻撃者について強い前提を置いています。その結果、これらの攻撃は実世界のシナリオでは不可能である。そこで我々は、スタイルマイグレーションネットワーク(GI-SMN)に基づく新しい勾配反転攻撃を提案する。この攻撃では、潜在的なコードの洗練と、勾配マッチングを容易にするための正規語の使用により、最適化空間が縮小される。GI-SMNは類似度の高いユーザーデータを一括して再構成することを可能にする。実験の結果、GI-SMNは視覚的効果と類似度メトリクスの両方において、最先端の勾配反転攻撃を凌駕することが実証された。さらに、GI-SMNは勾配刈り込みと差分プライバシー防御を克服することもできる。
要約(オリジナル)
Federated learning (FL) has emerged as a privacy-preserving machine learning approach where multiple parties share gradient information rather than original user data. Recent work has demonstrated that gradient inversion attacks can exploit the gradients of FL to recreate the original user data, posing significant privacy risks. However, these attacks make strong assumptions about the attacker, such as altering the model structure or parameters, gaining batch normalization statistics, or acquiring prior knowledge of the original training set, etc. Consequently, these attacks are not possible in real-world scenarios. To end it, we propose a novel Gradient Inversion attack based on Style Migration Network (GI-SMN), which breaks through the strong assumptions made by previous gradient inversion attacks. The optimization space is reduced by the refinement of the latent code and the use of regular terms to facilitate gradient matching. GI-SMN enables the reconstruction of user data with high similarity in batches. Experimental results have demonstrated that GI-SMN outperforms state-of-the-art gradient inversion attacks in both visual effect and similarity metrics. Additionally, it also can overcome gradient pruning and differential privacy defenses.
arxiv情報
著者 | Jin Qian,Kaimin Wei,Yongdong Wu,Jilian Zhang,Jipeng Chen,Huan Bao |
発行日 | 2024-05-06 14:29:24+00:00 |
arxivサイト | arxiv_id(pdf) |