Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Evaluating Gradient Inversion Attacks and Defenses in Federated Learning

Yangsibo Huang, Samyak Gupta|arXiv (Cornell University)|Nov 30, 2021
Geophysical Methods and Applications被引用数 123
ひとこと要約

この論文は連邦学習における勾配反転攻撃と防御を体系的に評価し、強力な attacker の仮定を緩和すると攻撃が弱化し、防御の組み合わせはデータの有用性を保ちながらプライバシー漏洩を低減できることを示している。

ABSTRACT

Gradient inversion attack (or input recovery from gradient) is an emerging threat to the security and privacy preservation of Federated learning, whereby malicious eavesdroppers or participants in the protocol can recover (partially) the clients' private data. This paper evaluates existing attacks and defenses. We find that some attacks make strong assumptions about the setup. Relaxing such assumptions can substantially weaken these attacks. We then evaluate the benefits of three proposed defense mechanisms against gradient inversion attacks. We show the trade-offs of privacy leakage and data utility of these defense methods, and find that combining them in an appropriate manner makes the attack less effective, even under the original strong assumptions. We also estimate the computation cost of end-to-end recovery of a single image under each evaluated defense. Our findings suggest that the state-of-the-art attacks can currently be defended against with minor data utility loss, as summarized in a list of potential strategies. Our code is available at: https://github.com/Princeton-SysML/GradAttack.

研究の動機と目的

  • 現実的な脅威モデルの下で勾配反転攻撃のリスクを評価する。
  • 既存の防御機構を評価し、プライバシー漏洩とデータ有用性を定量化する。
  • 防御を組み合わせることで保護が改善され、モデル性能にわずかな影響で済むかを調べる。
  • 異なる防御下で単一画像を回復するエンドツーエンドの計算コストを推定する。

提案手法

  • 最先端の勾配反転攻撃をレビューし形式化する。特に Geiping et al. (2020) に焦点を当てる。
  • 二つの強い仮定を特定し緩和する:BatchNorm の統計と private labels の知識。
  • 緩和された仮定の下で攻撃を再設計し、再構成品質への影響を測定する。
  • GradPrune、MixUp、Intra-InstaHide を含む防御を最強の攻撃に対して系統的に評価する。
  • 防御の組み合わせを分析し、LPIPS とテスト精度を用いてプライバシー漏洩を測定する。
  • 異なる防御下でのエンドツーエンド回復の時間コストを提供する。

実験結果

リサーチクエスチョン

  • RQ1勾配反転攻撃の背後にある重要な仮定は何か、これを取り除くと attack の有効性にどう影響するか?
  • RQ2最強の勾配反転攻撃に対して、既存の防御はプライバシー漏洩とデータ有用性の観点でどう機能するか?
  • RQ3防御を組み合わせることで個別の防御より良いプライバシー-有用性のトレードオフを得られるか?
  • RQ4さまざまな防御下で単一画像を回復する計算コストはどのくらいか?
  • RQ5より大きなバッチサイズと安全な構成は勾配反転リスクを軽減するか?

主な発見

  • BatchNorm の統計情報と private labels に関する仮定を緩和すると、特に高解像度データで勾配反転攻撃が大幅に弱くなる。
  • GradPrune のみでは最も強い攻撃に対抗できず、剪定が極端に強くないと精度損失が大きくなる(p ≥ 0.999 )。
  • MixUp と Intra-InstaHide は小さなバッチサイズで特に単独使用時の漏洩低減効果が限定的。
  • 防御の組み合わせ(例:Intra-InstaHide と勾配剪定)は、特にバッチサイズ32でプライバシー漏洩を著しく低減しつつ中程度の精度コストを伴う。
  • エンドツーエンド回復時間の推定では InstaHide が攻撃者のコストを大幅に増加させ、中規模から大規模データセットの回復を事実上困難にする。
  • ベストプラクティスには、BatchNorm 統計の共有を避けること、より大きなバッチサイズの使用、複数の防御を組み合わせてセキュリティを向上させつつ有用性の損失を許容することが含まれる。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。