BlindSage: Label Inference Attacks against Node-level Vertical Federated Graph Neural Networks

解决问题:本篇论文旨在探究纵向联邦图神经网络中标签推断攻击的问题,提出了一种零背景知识策略的攻击方案,并使用Graph Neural Networks作为目标模型,通过节点分类任务进行实验验证。

关键思路:本文提出的攻击方案BlindSage,使用了零背景知识的策略,通过对节点分类任务的攻击,实现对VFL模型中标签信息的推断。相比于当前领域的研究,本文的思路在于针对VFL模型中标签信息的推断攻击进行了深入研究,并提出了一种有效的攻击方案。

其他亮点:本文的实验结果表明,BlindSage攻击在大多数情况下能够达到近乎100%的准确度,即使攻击者没有任何关于模型体系结构或类别数量的信息,准确度也能保持在85%以上。此外,本文还发现目前已知的防御措施不能有效缓解该攻击,而不影响主要分类任务的模型性能。本文的工作为VFL模型中标签信息推断攻击提供了新的解决思路,值得进一步深入研究。

关于作者:本文的主要作者包括Marco Arazzi、Mauro Conti、Stefanos Koffas等人,他们来自意大利的研究机构和大学。Marco Arazzi曾在多个国际会议上发表过有关网络安全和隐私保护的论文,Mauro Conti则曾在IEEE Transactions on Dependable and Secure Computing等期刊上发表过多篇有关网络安全和隐私保护的论文。

相关研究:近期其他相关的研究包括:

  1. "Federated Learning with Matched Averaging",作者为Peter Kairouz等人,来自美国的研究机构和大学;
  2. "Privacy-Preserving Federated Learning with Byzantine Robust Aggregation",作者为Xiaoyang Wang等人,来自新加坡南洋理工大学;
  3. "Privacy-Preserving Collaborative Machine Learning: An Overview",作者为Jian Liu等人,来自中国的研究机构和大学。

论文摘要:本文研究了纵向联邦图神经网络中的标签推断攻击。联邦学习通过保持参与者的原始数据私有,实现机器学习模型的协作训练,旨在提高模型的隐私性、安全性和可扩展性。纵向联邦学习(VFL)提供了一个高效的跨数据源设置,其中少数参与方在不共享相同特征的情况下协作训练模型。在这种情况下,分类标签通常被认为是仅由一个(活动)方拥有的敏感信息,而其他(被动)方仅使用其本地信息。最近的研究揭示了VFL的重要缺陷,可能导致在攻击者具有某些,即使是有限的,标签和数据之间关系的背景知识的假设下进行标签推断攻击。本文是第一个(据我们所知)使用零背景知识策略研究VFL上的标签推断攻击。为了具体制定我们的提案,我们以图神经网络(GNNs)作为潜在的VFL目标模型。特别是,我们关注广泛研究的节点分类任务,GNNs已经显示出有希望的结果。我们提出的攻击,BlindSage,在实验中提供了令人印象深刻的结果,在大多数情况下实现了近100%的准确性。即使攻击者没有关于使用的架构或类别数量的信息,准确性在大多数情况下仍保持在85%以上。最后,我们观察到众所周知的防御措施不能缓解我们的攻击,而不影响主要分类任务上模型的性能。

内容中包含的图片若涉及版权问题,请及时与我们联系删除