Passive Inference Attacks on Split Learning via Adversarial Regularization

要約

分割学習 (SL) は、従来の連合学習に代わる実用的かつ効率的な方法として登場しました。
SL を攻撃するこれまでの試みは、過度に強力な仮定に依存したり、簡単に悪用可能なモデルを標的としたりすることが多かったですが、私たちはより実践的な攻撃の開発を目指しています。
正直だが好奇心旺盛なサーバーを備えた SL に対する新しい攻撃フレームワークである SDAR を紹介します。
SDAR は、補助データと敵対的正則化を活用して、クライアントのプライベート モデルのデコード可能なシミュレーターを学習します。これにより、バニラ SL ではクライアントのプライベート機能、U 字型 SL では機能とラベルの両方を効果的に推論できます。
私たちは、提案した攻撃の有効性を検証するために、両方の構成で広範な実験を実行しました。
特に、既存の受動的な攻撃がクライアントのプライベート データを効果的に再構築するのに苦労する、困難ではあるが実際的なシナリオにおいて、SDAR は能動的な攻撃に匹敵する攻撃パフォーマンスを一貫して達成します。
CIFAR-10 では、ディープ スプリット レベル 7 で、SDAR は、バニラと U 字型 SL の両方で 0.025 未満の平均二乗誤差でプライベート フィーチャの再構成を達成し、U 字型 SL では 98% 以上のラベル推論精度を達成します。
一方、既存の攻撃では重要な結果が得られません。

要約(オリジナル)

Split Learning (SL) has emerged as a practical and efficient alternative to traditional federated learning. While previous attempts to attack SL have often relied on overly strong assumptions or targeted easily exploitable models, we seek to develop more practical attacks. We introduce SDAR, a novel attack framework against SL with an honest-but-curious server. SDAR leverages auxiliary data and adversarial regularization to learn a decodable simulator of the client’s private model, which can effectively infer the client’s private features under the vanilla SL, and both features and labels under the U-shaped SL. We perform extensive experiments in both configurations to validate the effectiveness of our proposed attacks. Notably, in challenging but practical scenarios where existing passive attacks struggle to reconstruct the client’s private data effectively, SDAR consistently achieves attack performance comparable to active attacks. On CIFAR-10, at the deep split level of 7, SDAR achieves private feature reconstruction with less than 0.025 mean squared error in both the vanilla and the U-shaped SL, and attains a label inference accuracy of over 98% in the U-shaped setting, while existing attacks fail to produce non-trivial results.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google