联合学习(FL)在一些分散的参与者中训练一个全局模型,每个参与者都有一个本地数据集。与传统的集中式学习相比,联合学习不需要直接访问本地数据集,因此减轻了数据安全和隐私问题。然而,由于推理攻击,包括已知成员推理、属性推理和数据反转,FL的数据隐私问题仍然存在。 在这项工作中,我们揭示了一种新型的隐私推理攻击,即偏好分析攻击(PPA),它可以准确地描述本地用户的私人偏好。一般来说,PPA可以根据本地用户的特征对top-k,特别是top-1的偏好进行剖析。我们的关键见解是,本地用户模型的梯度变化对某一特定类别的样本比例具有明显的敏感性,特别是多数/少数类别。通过观察用户模型对某一类别的梯度敏感性,PPA可以剖析该类别在用户本地数据集中的样本比例,从而暴露用户对该类别的偏好。FL固有的统计异质性进一步促进了PPA的发展。我们使用MNIST、CIFAR10、Products-10K和RAF-DB这四个图像领域的数据集广泛地评估了PPA的有效性。我们的结果表明,PPA对MNIST和CIFAR10分别达到了90%和98%的最高攻击精度。更重要的是,在购物(即Products-10K)和社交网络(即RAF-DB)的真实商业场景中,PPA在前者推断出最有秩序的物品时获得了78%的最高1级攻击准确率,在后者推断出受害用户的情绪时获得了88%的准确率。虽然现有的对策,如辍学和差异化的隐私保护,可以在一定程度上降低PPA的准确率,但它们不可避免地会造成全局模型的恶化。
《PPA: Preference Profiling Attack Against Federated Learning》
论文地址:http://arxiv.org/abs/2202.04856v1
本文暂时没有评论,来添加一个吧(●'◡'●)