Gradient Diffusion: A Perturbation-Resilient Gradient Leakage Attack

最近的研究表明，联邦学习（FL）容易受到梯度泄露攻击的影响，即私有训练数据可以从交换的梯度中恢复，使得梯度保护成为FL训练过程中的关键问题。现有的解决方案通常采用基于扰动的机制，例如差分隐私，在聚合到服务器之前，每个参与的客户端都会向本地梯度注入特定量的噪声，全局分布变化最终掩盖了梯度隐私。然而，扰动并不总是梯度保护的万能药，因为其鲁棒性严重依赖于注入的噪声。这个想法引发了一个有趣的问题：\textit{是否可能通过去除梯度内的扰动来禁用现有的保护机制？}在本文中，我们提出了答案：\textit{是}，并提出了Perturbation-resilient Gradient Leakage Attack（PGLA），这是第一次尝试恢复已经扰动过的梯度，而无需额外访问原始模型结构或第三方数据。具体来说，我们利用梯度扰动保护的固有扩散特性，并构建了一种新的基于扩散的去噪模型来实现PGLA。我们的洞察力是，在扩散反转过程中捕获扰动的干扰水平可以释放梯度去噪能力，从而促进扩散模型通过自适应采样步骤生成近似于原始干净版本的梯度。大量实验证明，PGLA有效地恢复了受保护的梯度，并将FL训练过程暴露于梯度泄露的威胁之下，与现有模型相比，在梯度去噪和数据恢复方面实现了最佳质量。我们希望引起公众对PGLA及其防御的关注。

本文旨在解决联邦学习中梯度泄露攻击的问题，提出了一种新的攻击方式：去除梯度中的扰动以恢复原始数据。

本文提出了一种新的攻击方式——PGLA，通过构建基于扩散的去噪模型来恢复被扰动的梯度，从而揭示联邦学习中的梯度泄露威胁。

本文的亮点在于提出了一种新的攻击方式，能够有效地恢复被扰动的梯度，揭示了联邦学习中的梯度泄露威胁。实验结果表明，PGLA在梯度去噪和数据恢复方面的质量优于现有模型。需要进一步研究如何防御这种攻击。

最近在联邦学习中，还有一些相关研究，如《FedDANE: A Federated Newton-type Method》、《Secure Federated Learning against Poisoning Attacks: Federated Multi-Task Learning》等。