[論文レビュー] Interaction-level Membership Inference Attack Against Federated Recommender Systems
論文はFedRecsにおける相互作用レベルのメンバーシップ推定攻撃(IMIA)を提案し、LDPがIMIAに対して効果がないことを示し、推論精度を低下させつつ推奨品質への影響をほとんど、またはごくわずかに抑えるIMIA Defenderを提案する。
The marriage of federated learning and recommender system (FedRec) has been widely used to address the growing data privacy concerns in personalized recommendation services. In FedRecs, users' attribute information and behavior data (i.e., user-item interaction data) are kept locally on their personal devices, therefore, it is considered a fairly secure approach to protect user privacy. As a result, the privacy issue of FedRecs is rarely explored. Unfortunately, several recent studies reveal that FedRecs are vulnerable to user attribute inference attacks, highlighting the privacy concerns of FedRecs. In this paper, we further investigate the privacy problem of user behavior data (i.e., user-item interactions) in FedRecs. Specifically, we perform the first systematic study on interaction-level membership inference attacks on FedRecs. An interaction-level membership inference attacker is first designed, and then the classical privacy protection mechanism, Local Differential Privacy (LDP), is adopted to defend against the membership inference attack. Unfortunately, the empirical analysis shows that LDP is not effective against such new attacks unless the recommendation performance is largely compromised. To mitigate the interaction-level membership attack threats, we design a simple yet effective defense method to significantly reduce the attacker's inference accuracy without losing recommendation performance. Extensive experiments are conducted with two widely used FedRecs (Fed-NCF and Fed-LightGCN) on three real-world recommendation datasets (MovieLens-100K, Steam-200K, and Amazon Cell Phone), and the experimental results show the effectiveness of our solutions.
研究の動機と目的
- FedRecsにおけるユーザー相互作用データのプライバシーリスクを、相互作用レベルのメンバーシップ推定攻撃(IMIA)の観点から評価する。
- FedRecsにおけるIMIAに対するローカル差分プライバシー(LDP)の限界を示す。
- 推奨性能を損なうことなく公開パラメータの漏洩を制限するIMIAディフェンダーという防御機構を提案・評価する。
提案手法
- 公開パラメータをアップロードしてシャドウモデルの距離比較で interacted items を反復的に推測するIMIA攻撃者を設計する。
- 2つのFedRecs(Fed-NCFとFed-LightGCN)と3つの実世界データセット(MovieLens-100K、Steam-200K、Amazon Cell Phone)でIMIAを評価する。
- IMIAに対する防御としてのローカル差分プライバシー(LDP)の有効性を検討する。
- 公開パラメータの更新を制約する正則化項を追加するIMIAディフェンダーを提案する。
- 推論精度のF1と推奨品質のHit@10を用いて攻撃者/防御者の性能を比較する。
実験結果
リサーチクエスチョン
- RQ1正直だが好奇心を持つサーバーは、FedRecsにおいてアップロードされた公開パラメータから利用者の相互作用アイテムを正確に推測できるか。
- RQ2FedRecsにおける相互作用レベルのメンバーシップ推定に対して、ローカル差分プライバシーは有効か。
- RQ3軽量なディフェンダーはIMIAの精度を大幅に低下させずに推奨性能をほとんど損なわないか。
- RQ4異なるFedRecs(Fed-NCFとFed-LightGCN)は、IMIAと防御機構の下でどのように振る舞うか。
主な発見
- IMIAはすべての検証データセットで高い推論精度を達成し、ランダムおよびK-meansベースラインを上回る(論文に示されたF1スコア:例として各データセットでIMIA攻撃者の0.5928–0.6707)。
- LDP防御は漏洩を抑えるが、推奨性能に大きな代償を伴い、ときにはHit@10が大幅に低下する。
- Fed-LightGCNはFed-NCFよりIMIAに対して耐性が高く、ユーザー埋め込みがより豊かなプライベートパラメータ情報を捉えているためと考えられる。
- 公開パラメータ更新を制限する正則化項を持つIMIAディフェンダーを導入すると、IMIAの精度はほぼランダム推測へ低下し、Hit@10への影響はほとんどない。
- ディフェンダーは埋め込み更新を移行させる:ユーザー埋め込みの分岐が大きくなり、アイテム埋め込みの更新は小さくなり、漏洩を抑えつつ性能を維持する。)
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。