Skip to main content
QUICK REVIEW

[論文レビュー] Toward Robustness and Privacy in Federated Learning: Experimenting with Local and Central Differential Privacy.

Mohammad Naseri, Jamie Hayes|arXiv (Cornell University)|Sep 8, 2020
Privacy-Preserving Technologies in Data参考文献 111被引用数 54
ひとこと要約

本稿は、フェデレーテッドラーニング(FL)におけるバックドア攻撃、メンバーシップ攻撃、プロパティ推定攻撃に対する防御策として、ローカル微分プライバシー(LDP)および中央微分プライバシー(CDP)の有効性を評価する。両方のDPバージョンがバックドア攻撃およびホワイトボックスメンバーシップ攻撃を緩和するが、モデルの有用性を維持したままであり、一方でプロパティ推定攻撃に対しては防御できない。本稿は、プライバシー・有用性・耐性のトレードオフを分析する再利用可能なフレームワークを確立する。

ABSTRACT

Federated Learning (FL) allows multiple participants to collaboratively train machine learning models by keeping their datasets local and exchanging model updates. Recent work has highlighted weaknesses related to robustness and privacy in FL, including backdoor, membership and property inference attacks. In this paper, we investigate whether and how Differential Privacy (DP) can be used to defend against attacks targeting both robustness and privacy in FL. To this end, we present a first-of-its-kind experimental evaluation of Local and Central Differential Privacy (LDP/CDP), assessing their feasibility and effectiveness. We show that both LDP and CDP do defend against backdoor attacks, with varying levels of protection and utility, and overall more effectively than non-DP defenses. They also mitigate white-box membership inference attacks, which our work is the first to show. Neither, however, defend against property inference attacks, prompting the need for further research in this space. Overall, our work also provides a re-usable measurement framework to quantify the trade-offs between robustness/privacy and utility in differentially private FL.

研究の動機と目的

  • 微分プライバシー(DP)が、フェデレーテッドラーニング(FL)におけるプライバシーと耐性の両方を向上させられるかどうかを調査すること。
  • ローカル微分プライバシー(LDP)と中央微分プライバシー(CDP)が、FLにおける悪意ある攻撃に対してどの程度効果的に防御できるかを比較すること。
  • 異なるDP設定下でのモデルの有用性、プライバシー、耐性のトレードオフを評価すること。
  • 微分プライバシーを適用したFLにおけるプライバシー・有用性・耐性のトレードオフを定量的に測定する再利用可能なフレームワークを確立すること。

提案手法

  • クライアント側でモデル更新にノイズを追加することで、ローカル微分プライバシー(LDP)を適用する。
  • サーバー側でグローバルモデルの集約にノイズを追加することで、中央微分プライバシー(CDP)を適用する。
  • 特定の攻撃タイプに対する防御性能を評価するため、ベンチマークFLデータセットを用いた制御実験を実施する。
  • 攻撃成功確率、モデル精度、プライバシー損失といった標準的な指標を用いて、トレードオフを定量化する。
  • DPベースの防御と非DPベースの基準との系統的比較を可能にする統一された評価フレームワークを導入する。
  • ホワイトボックスメンバーシップ推定攻撃およびプロパティ推定攻撃を用いて、DP保護モデルの耐性を検証する。

実験結果

リサーチクエスチョン

  • RQ1ローカルおよび中央微分プライバシーは、フェデレーテッドラーニングにおけるバックドア攻撃に対して効果的に防御できるか?
  • RQ2LDPとCDPは、FLにおけるホワイトボックスメンバーシップ推定攻撃をどの程度緩和できるか?
  • RQ3LDPおよびCDPは、FLにおけるプロパティ推定攻撃に対してどの程度防御できるか?
  • RQ4FLにDPを適用した際の、モデルの有用性、プライバシー、耐性のトレードオフはどのようなものか?

主な発見

  • LDPおよびCDPの両方がバックドア攻撃に対して効果的に防御するが、CDPはLDPに比べて一般的により強い保護を提供する。
  • LDPおよびCDPはホワイトボックスメンバーシップ推定攻撃の成功確率を顕著に低下させ、本稿が新たに確立した発見である。
  • LDPおよびCDPの両方とも、プロパティ推定攻撃に対して有意義な防御を提供しないことが判明し、現在のDPベースの防御における重要なギャップを示している。
  • 提案されたフレームワークにより、微分プライバシーを適用したFLにおけるプライバシー・有用性・耐性のトレードオフを系統的に定量化できるようになった。
  • DPベースの防御は、非DPベースの防御に比べて耐性とプライバシーの面で優れているが、モデルの有用性が低下する代償がある。
  • 結果から、同等のプライバシー予算下で、CDPはLDPに比べてより優れた有用性・プライバシーのバランスを達成していることが示された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。