[論文レビュー] Label Leakage and Protection in Two-party Split Learning
本論文は、二者分割学習において、非ラベル側が逆伝搬勾配からプライベートなラベルを回復できることを示し、漏洩を防ぎつつ有用性を維持する最適化摂動法Marvellを提案する。
Two-party split learning is a popular technique for learning a model across feature-partitioned data. In this work, we explore whether it is possible for one party to steal the private label information from the other party during split training, and whether there are methods that can protect against such attacks. Specifically, we first formulate a realistic threat model and propose a privacy loss metric to quantify label leakage in split learning. We then show that there exist two simple yet effective methods within the threat model that can allow one party to accurately recover private ground-truth labels owned by the other party. To combat these attacks, we propose several random perturbation techniques, including $ exttt{Marvell}$, an approach that strategically finds the structure of the noise perturbation by minimizing the amount of label leakage (measured through our quantification metric) of a worst-case adversary. We empirically demonstrate the effectiveness of our protection techniques against the identified attacks, and show that $ exttt{Marvell}$ in particular has improved privacy-utility tradeoffs relative to baseline approaches.
研究の動機と目的
- 二値分類における二者分割学習でのラベル漏洩に関する脅威モデルを定式化する。
- バックワード勾配におけるラベル漏洩を測定するプライバシー定量指標(leak AUC)を提案する。
- 勾配から真のラベルを回収する現実的な攻撃を実証する。
- Marvellを含む漏洩を最小化しつつモデル性能を維持する保護技術を開発・評価する。)
提案手法
- 垂直分割学習における例特有の勾配ベース漏洩に対する脅威モデルを定義する。
- 切断層勾配からラベルを回収する adversary の能力を定量化する指標として leak AUC を導入する。
- ノルムベースと方向/余弦ベースの漏洩戦略という2つの実用的な攻撃を実証する。
- ランダム摂動防御を提案する:max_norm(ヒューリスティック)とMarvell(原理的最適化)。
- Marvell は勾配ノイズ力学制約の下で最悪ケースの AUC を最小化する制約付き最適化を解く。
- クラス依存共分散を持つガウス摂動を仮定し、共分散構造を4パラメータ問題へと縮約する。)
実験結果
リサーチクエスチョン
- RQ1二者分割学習における backward-cut-layer 勾配はプライベートなラベルを開示するか?
- RQ2この設定におけるラベル漏洩をどのように定量化・比較できるか?
- RQ3モデルの有用性を損なわずに漏洩を効果的に減らす防御手段は何か?
- RQ4潜在的な攻撃者全体に対して頑健で原理的なプライバシー保護を提供する最適化された摂動戦略は存在するか?
主な発見
- 2つの簡単で現実的な攻撃が切断層勾配からプライベートラベルを回収でき、高い leak AUC 値を生む。
- Marvell は漏洩を著しく低減し、ベースラインと比較してプライバシー-有用性に有利なトレードオフを達成する。
- 勾配漏洩は切断層の前の前方層でも持続するが、Marvell によって緩和される。
- Marvell は総ノイズ予算の下でクラス依存のガウスノイズを最適化し、最悪ケースの AUC を最小化する。
- Criteo、Avazu、ISIC に対する実証評価は、ノルム攻撃およびコサイン攻撃に対する保護効果を示す。
- ベースラインと比較して、Marvell はモデル性能を維持しつつより強力なプライバシーを提供する。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。