Understanding Deep Gradient Leakage via Inversion Influence Functions

要約

Deep Gradient Leakage (DGL) は、勾配ベクトルからプライベート トレーニング イメージを回復する非常に効果的な攻撃です。
この攻撃は、クライアントが勾配を共有する必要がある、機密データを持つクライアントからの分散学習に重大なプライバシーの課題を投げかけます。
このような攻撃を防御するには、プライバシー漏洩がいつどのように発生するかを理解する必要がありますが、これは主にディープ ネットワークのブラック ボックスの性質によるものです。
この論文では、DGL 問題を暗黙的に解くことによって、復元された画像とプライベート勾配の間に閉形式の接続を確立する新しい反転影響関数 (I$^2$F) を提案します。
DGL を直接解くのと比較して、I$^2$F はディープ ネットワークの分析に拡張可能であり、勾配とヤコビアン ベクトル積への Oracle アクセスのみが必要です。
我々は、I$^2$F がさまざまなモデル アーキテクチャ、データセット、攻撃実装、ノイズ ベースの防御において一般的に DGL を効果的に近似していることを経験的に示しています。
この新しいツールを使用すると、効果的な勾配摂動の方向、プライバシー保護の不公平性、およびプライバシー優先モデルの初期化についての洞察が得られます。
私たちのコードは https://github.com/illidanlab/inversion-influence-function で提供されています。

要約(オリジナル)

Deep Gradient Leakage (DGL) is a highly effective attack that recovers private training images from gradient vectors. This attack casts significant privacy challenges on distributed learning from clients with sensitive data, where clients are required to share gradients. Defending against such attacks requires but lacks an understanding of when and how privacy leakage happens, mostly because of the black-box nature of deep networks. In this paper, we propose a novel Inversion Influence Function (I$^2$F) that establishes a closed-form connection between the recovered images and the private gradients by implicitly solving the DGL problem. Compared to directly solving DGL, I$^2$F is scalable for analyzing deep networks, requiring only oracle access to gradients and Jacobian-vector products. We empirically demonstrate that I$^2$F effectively approximated the DGL generally on different model architectures, datasets, attack implementations, and noise-based defenses. With this novel tool, we provide insights into effective gradient perturbation directions, the unfairness of privacy protection, and privacy-preferred model initialization. Our codes are provided in https://github.com/illidanlab/inversion-influence-function.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google