- 简介与普遍存在的联邦学习(FL)隐私推断技术(如生成对抗网络攻击、成员推断攻击、属性推断攻击和模型反演攻击)相比,我们设计了一种创新的隐私威胁:对联邦学习的数据分布分解攻击,称为Decaf。这种攻击使得一个诚实但好奇的FL服务器能够详细地分析受害FL用户拥有的每个类别的比例,揭示敏感信息,如本地市场商品分布和商业竞争力。Decaf的关键在于深刻观察到本地模型梯度变化的大小与底层数据分布密切相关,包括每个类别的比例。Decaf解决了两个关键挑战:准确地识别任何受害用户所给出的缺失/空类别,并量化梯度变化与每个剩余的非空类别之间的精确关系。值得注意的是,Decaf运作隐秘,使得受害用户对于其数据分布隐私的侵犯完全被动且无法察觉。在使用不同的模型架构(包括自定义卷积网络、标准化VGG16和ResNet18)的五个基准数据集(MNIST、FASHION-MNIST、CIFAR-10、FER-2013和SkinCancer)上进行的实验验证了Decaf的有效性。结果表明,无论数据分布是否IID或非IID分布,Decaf都能准确地分解本地用户数据分布。具体来说,当不存在空类别时,使用$L_{\infty}$距离测量Decaf分解的分布与真实分布之间的不相似度始终低于5%。此外,通过正式证明,Decaf能够100%准确地确定任何受害用户的空类别。
- 图表
- 解决问题本论文提出一种新的针对联邦学习隐私威胁的攻击方式,称为Decaf,旨在揭示受害者FL用户所拥有的每个类别的比例,从而泄露敏感信息。
- 关键思路Decaf的核心思想是观察到本地模型梯度变化的大小与底层数据分布密切相关,包括每个类别的比例,并解决了两个关键挑战。
- 其它亮点实验结果表明,Decaf能够准确地分解本地用户数据分布,无论是IID还是non-IID分布。该论文的方法是全新的,实验使用了5个基准数据集,包括MNIST,FASHION-MNIST,CIFAR-10,FER-2013和SkinCancer,采用了不同的模型架构,包括定制的卷积网络、标准化的VGG16和ResNet18,并验证了Decaf的有效性。
- 相关研究包括联邦学习隐私推断技术,如生成对抗网络攻击、成员推断攻击、属性推断攻击和模型反演攻击等。
沙发等你来抢
去评论
评论
沙发等你来抢