Robust Federated Learning Mitigates Client-side Training Data Distribution Inference Attacks

要約

最近の研究では、クライアントがプライベート データをサーバーと共有しないため安全だと考えられていたフェデレーション ラーニング (FL) が、悪意のあるクライアントが被害者のデータを再作成できるクライアント側のトレーニング データ配布推論などの攻撃に対して脆弱であることが明らかになりました。
さまざまな対策が存在しますが、多くの場合、攻撃前のトレーニング データやラベル配布の知識へのサーバー アクセスが前提となっており、実用的ではありません。
この研究では、クライアント側のトレーニング データ配布推論攻撃から防御することを目的とした、新しいビザンチン堅牢な集計ルールである InferGuard を提案することでギャップを埋めます。
私たちが提案する InferGuard では、サーバーはまず、受信したすべてのモデル更新の座標方向の中央値を計算します。
クライアントのモデル更新が計算された中央値更新から大幅に逸脱している場合、その更新は悪意があると見なされます。
私たちは、5 つのベンチマーク データセットで提案した InferGuard の徹底的な評価を実行し、10 のベースライン手法との比較を実行します。
私たちの実験結果は、私たちの防御メカニズムが、強力な適応型攻撃であっても、クライアント側のトレーニング データ配布推論攻撃から保護するのに非常に効果的であることを示しています。
さらに、私たちの方法は、さまざまな実際の FL シナリオにおいてベースライン方法を大幅に上回ります。

要約(オリジナル)

Recent studies have revealed that federated learning (FL), once considered secure due to clients not sharing their private data with the server, is vulnerable to attacks such as client-side training data distribution inference, where a malicious client can recreate the victim’s data. While various countermeasures exist, they are not practical, often assuming server access to some training data or knowledge of label distribution before the attack. In this work, we bridge the gap by proposing InferGuard, a novel Byzantine-robust aggregation rule aimed at defending against client-side training data distribution inference attacks. In our proposed InferGuard, the server first calculates the coordinate-wise median of all the model updates it receives. A client’s model update is considered malicious if it significantly deviates from the computed median update. We conduct a thorough evaluation of our proposed InferGuard on five benchmark datasets and perform a comparison with ten baseline methods. The results of our experiments indicate that our defense mechanism is highly effective in protecting against client-side training data distribution inference attacks, even against strong adaptive attacks. Furthermore, our method substantially outperforms the baseline methods in various practical FL scenarios.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google