Breaking Secure Aggregation: Label Leakage from Aggregated Gradients in Federated Learning

Federated Learning（FL）在梯度反演攻击（GIAs）下表现出隐私漏洞，这可以从个体梯度中提取私人信息。为增强隐私，FL采用安全聚合（SA）防止服务器获取个体梯度，从而有效抵制GIAs。本文提出了一种隐蔽标签推断攻击，以绕过SA并恢复个别客户的私人标签。具体而言，我们对仅在实施SA后获得的聚合梯度进行标签推断的理论分析。分析结果显示，最终完全连接层（FCL）的输入（嵌入）和输出（对数）有助于梯度分解和标签恢复。为了预设FCL的嵌入和对数，我们通过仅修改原始模型中的单个批量归一化（BN）层的参数来制作一个钓鱼模型。分发特定于客户端的钓鱼模型，服务器可以通过使用预期嵌入和聚合梯度作为系数来解决线性系统，从而推导出关于FCL偏差的个体梯度。然后，可以根据预设的FCL对数和梯度的偏差精确计算每个客户的标签。广泛的实验表明，我们的攻击在各种数据集和模型架构上实现了大规模标签恢复，准确率达到100％。

本论文旨在解决联邦学习中的隐私问题，特别是在使用安全聚合协议时容易受到梯度反演攻击的问题。

本论文提出了一种隐蔽的标签推断攻击方法，通过修改原始模型中的一个批量标准化层的参数来制作钓鱼模型，以绕过安全聚合协议，恢复个体客户的私有标签。

论文使用了理论分析和实验来验证攻击的有效性，并在各种数据集和模型结构上实现了100％准确率的大规模标签恢复。值得关注的是，本论文提出的攻击方法并不需要访问原始数据，只需要访问安全聚合的梯度即可。

在联邦学习和隐私保护方面已经有很多相关研究，例如“Federated Learning with Differential Privacy: Algorithms and Performance”和“Privacy-Preserving Deep Learning”。