Hiding in Plain Sight: Disguising Data Stealing Attacks in Federated Learning

要約

悪意のあるサーバー (MS) 攻撃により、フェデレーテッド ラーニングにおけるデータ窃取が、以前はプライベートと考えられていた設定を大規模なバッチ サイズと安全な集計に拡張できるようになりました。
しかし、クライアント側での MS 攻撃の検出可能性については多くの懸念が提起され、公に知られるとその実用性が疑問視されています。
この研究では、クライアント側の検出可能性の問題を初めて徹底的に研究します。基本的に 2 つの重要な原則のいずれかに依存する従来の MS 攻撃のほとんどが、原則に基づいたクライアント側のチェックによって検出可能であることを実証します。
さらに、実際の MS 攻撃に対する要望を定式化し、すべての要望を満たす新しい攻撃フレームワークである SEER を提案します。SEER は、たとえ大規模なバッチ サイズ (実験では最大 512) であっても、安全な集約下であっても現実的なネットワークの勾配からユーザー データを盗みます。
SEER の重要な洞察は、共有モデルで共同トレーニングされる秘密デコーダーの使用です。
私たちの取り組みは、MS 攻撃に対するより原則的な対処に向けた有望な第一歩であり、現実世界の展開においてユーザーのプライバシーを侵害する可能性がある現実的なデータ窃盗への道を切り開きます。

要約(オリジナル)

Malicious server (MS) attacks have enabled the scaling of data stealing in federated learning to large batch sizes and secure aggregation, settings previously considered private. However, many concerns regarding client-side detectability of MS attacks were raised, questioning their practicality once they are publicly known. In this work, for the first time, we thoroughly study the problem of client-side detectability.We demonstrate that most prior MS attacks, which fundamentally rely on one of two key principles, are detectable by principled client-side checks. Further, we formulate desiderata for practical MS attacks and propose SEER, a novel attack framework that satisfies all desiderata, while stealing user data from gradients of realistic networks, even for large batch sizes (up to 512 in our experiments) and under secure aggregation. The key insight of SEER is the use of a secret decoder, which is jointly trained with the shared model. Our work represents a promising first step towards more principled treatment of MS attacks, paving the way for realistic data stealing that can compromise user privacy in real-world deployments.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google