[論文レビュー] Beyond Inferring Class Representatives: User-Level Privacy Leakage From Federated Learning
本論文は、学習に影響を与えずにフェデレーテッド・ラーニングにおけるユーザー固有データを回復する、悪意あるサーバーからのマルチタスクGAN攻撃である mGAN-AI を提案する。MNIST および AT&T で実証された。
Federated learning, i.e., a mobile edge computing framework for deep learning, is a recent advance in privacy-preserving machine learning, where the model is trained in a decentralized manner by the clients, i.e., data curators, preventing the server from directly accessing those private data from the clients. This learning mechanism significantly challenges the attack from the server side. Although the state-of-the-art attacking techniques that incorporated the advance of Generative adversarial networks (GANs) could construct class representatives of the global data distribution among all clients, it is still challenging to distinguishably attack a specific client (i.e., user-level privacy leakage), which is a stronger privacy threat to precisely recover the private data from a specific client. This paper gives the first attempt to explore user-level privacy leakage against the federated learning by the attack from a malicious server. We propose a framework incorporating GAN with a multi-task discriminator, which simultaneously discriminates category, reality, and client identity of input samples. The novel discrimination on client identity enables the generator to recover user specified private data. Unlike existing works that tend to interfere the training process of the federated learning, the proposed method works "invisibly" on the server side. The experimental results demonstrate the effectiveness of the proposed attacking approach and the superior to the state-of-the-art.
研究の動機と目的
- 悪意あるサーバーの視点から、フェデレーテッド・ラーニングにおけるユーザーレベルのプライバシー漏洩の研究を動機づける。
- 個別のクライアントを標的とし、グローバルクラス代表ではなく、汎用で見えない攻撃フレームワーク(mGAN-AI)を提案する。
- GAN 訓練時にクライアント識別を識別することによって特定のクライアントのデータを回復できるようにする。
- 攻撃中にフェデレーテッド・ラーニングのメカニズムや共有モデルを変更せず、学習の有用性を維持する。
提案手法
- real/fake 判別器、カテゴリ分類器、そしてクライアント識別判別器を備えたマルチタスクGANである mGAN-AI を導入する。
- カテゴリとクライアント識別に条件付けられた生成器を訓練し、被害者特有のサンプルを生成する。
- 更新からクライアントデータの代表を推定(逆伝播勾配)して識別タスクを監督する。
- 更新と共有モデルを用いて訓練を妨げず、パッシブ(見えない)攻撃として機能する;被害者を分離するアクティブな変種を提供する。
- real/fake、カテゴリ、アイデンティティタスクの目的関数を定式化し、DとGの更新則を導出する。
- 合計変動正則化を用いた最適化により更新からクライアント代表 X_k を計算する方法を説明する。
実験結果
リサーチクエスチョン
- RQ1悪意あるサーバーがトレーニングプロセスを変更せずに、フェデレーテッド・ラーニングにおける個々のクライアントに特有のデータを回復できるか。
- RQ2クライアント識別タスクを追加した GAN 訓練は、ターゲットクライアントのデータを正確に再構成することを可能にするだろうか。
- RQ3提案手法である mGAN-AI フレームワークは、既存の GAN ベースやモデル反転攻撃と比較して、クライアント特有のデータを取得する際にどれほど効果的か。
主な発見
- mGAN-AI は被害者条件付きのサンプル生成を可能にし、MNIST および AT&T データセットで特定クライアントのデータを回復する。
- パッシブ(見えない)攻撃は、共有モデルや訓練手順を変更することなく動作できる。
- アクティブな変種は、被害者を分離し、専用の共有モデル上で訓練することで攻撃力を更に向上させる。
- 本手法は、クライアントの更新から推定されたクライアントデータ代表を識別ディスクリミネーションの監督に用いる。
- 従来の攻撃と比較して、現実的なフェデレーテッド・ラーニング環境下で mGAN-AI は優れた再構成能力を示す。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。