Model Inversion Attack against Federated Unlearning

要約

「忘れられる権利」に関連する規制の導入により、Federated Learning（FL）は新しいプライバシーコンプライアンスの課題に直面しています。
これらの課題に対処するために、研究者はフェデレーション・ノーリング（FU）を提案しています。
ただし、既存のFU研究は、主に学習の効率を改善することに焦点を当てており、これらの方法に固有の潜在的なプライバシーの脆弱性にあまり注意を払っていません。
このギャップに対処するために、フロリダ州のグラデーション反転攻撃からインスピレーションを引き出し、連邦政府の非学習反転攻撃（FUIA）を提案します。
FUIAは、FUに関連するプライバシー漏れリスクの包括的な分析を提供することを目指して、3種類のFU（サンプルの学習、クライアントの学習、およびクラスの学習の解除）向けに特別に設計されています。
FUIAでは、サーバーは正直であるが勇気のある攻撃者として機能し、忘れられたデータの機能とラベルを公開するために学習の前後にモデルの違いを記録および悪用します。
FUIAは、忘れられたデータのプライバシーを大幅に漏らし、あらゆる種類のFUをターゲットにすることができます。
この攻撃は、特定のデータの影響を排除するためのFUの目標と矛盾し、代わりにその脆弱性を活用して忘れられたデータを回復し、プライバシーの欠陥を公開します。
広範な実験結果は、FUIAが忘れられたデータの個人情報を効果的に明らかにできることを示しています。
このプライバシー漏れを軽減するために、2つの潜在的な防御方法も調査しますが、これらは学習の有効性と未学習モデルの使いやすさの低下を犠牲にして提供されます。

要約(オリジナル)

With the introduction of regulations related to the “right to be forgotten’, federated learning (FL) is facing new privacy compliance challenges. To address these challenges, researchers have proposed federated unlearning (FU). However, existing FU research has primarily focused on improving the efficiency of unlearning, with less attention paid to the potential privacy vulnerabilities inherent in these methods. To address this gap, we draw inspiration from gradient inversion attacks in FL and propose the federated unlearning inversion attack (FUIA). The FUIA is specifically designed for the three types of FU (sample unlearning, client unlearning, and class unlearning), aiming to provide a comprehensive analysis of the privacy leakage risks associated with FU. In FUIA, the server acts as an honest-but-curious attacker, recording and exploiting the model differences before and after unlearning to expose the features and labels of forgotten data. FUIA significantly leaks the privacy of forgotten data and can target all types of FU. This attack contradicts the goal of FU to eliminate specific data influence, instead exploiting its vulnerabilities to recover forgotten data and expose its privacy flaws. Extensive experimental results show that FUIA can effectively reveal the private information of forgotten data. To mitigate this privacy leakage, we also explore two potential defense methods, although these come at the cost of reduced unlearning effectiveness and the usability of the unlearned model.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google