要約
フェデレーテッド・ラーニングは、関係者の生データを非公開にすることで、機械学習モデルの協調学習を可能にする。その主な目的の1つは、モデルのプライバシー、セキュリティ、スケーラビリティを向上させることである。VFL(Vertical Federated Learning)は、複数の関係者が同じ特徴を共有することなくモデルを共同学習する、効率的なクロスサイロ設定を提供する。このようなシナリオでは、分類ラベルは一般的に1つの(能動的な)当事者によってのみ保持される機密情報とみなされ、他の(受動的な)当事者は自分のローカル情報のみを使用する。最近の研究により、VFLの重要な欠陥が明らかにされ、攻撃者がラベルとデータの関係に関する背景知識をある程度(限定的であっても)持っているという仮定の下で、ラベル推論攻撃の可能性があることが分かってきた。本研究では、ゼロ背景知識戦略を用いたVFLのラベル推論攻撃について(我々の知る限り)初めて調査する。我々の提案を具体化するために、基礎となるVFLのターゲットモデルとしてグラフニューラルネットワーク(GNN)に注目する。特に、広く研究されているノード分類タスクを参照し、GNNは有望な結果を示している。我々の提案する攻撃、BlindSageは実験において印象的な結果をもたらし、ほとんどのケースでほぼ100%の精度を達成した。攻撃者が使用されるアーキテクチャやクラス数に関する情報を持たない場合でも、ほとんどのケースで85%以上の精度を維持した。最後に、主要な分類タスクにおけるモデルの性能に影響を与えることなく、よく知られた防御では我々の攻撃を軽減できないことを観察する。
要約(オリジナル)
Federated learning enables collaborative training of machine learning models by keeping the raw data of the involved workers private. One of its main objectives is to improve the models’ privacy, security, and scalability. Vertical Federated Learning (VFL) offers an efficient cross-silo setting where a few parties collaboratively train a model without sharing the same features. In such a scenario, classification labels are commonly considered sensitive information held exclusively by one (active) party, while other (passive) parties use only their local information. Recent works have uncovered important flaws of VFL, leading to possible label inference attacks under the assumption that the attacker has some, even limited, background knowledge on the relation between labels and data. In this work, we are the first (to the best of our knowledge) to investigate label inference attacks on VFL using a zero-background knowledge strategy. To concretely formulate our proposal, we focus on Graph Neural Networks (GNNs) as a target model for the underlying VFL. In particular, we refer to node classification tasks, which are widely studied, and GNNs have shown promising results. Our proposed attack, BlindSage, provides impressive results in the experiments, achieving nearly 100% accuracy in most cases. Even when the attacker has no information about the used architecture or the number of classes, the accuracy remained above 85% in most instances. Finally, we observe that well-known defenses cannot mitigate our attack without affecting the model’s performance on the main classification task.
arxiv情報
| 著者 | Marco Arazzi,Mauro Conti,Stefanos Koffas,Marina Krcek,Antonino Nocera,Stjepan Picek,Jing Xu |
| 発行日 | 2023-08-04 17:04:58+00:00 |
| arxivサイト | arxiv_id(pdf) |