論文の概要: When the Curious Abandon Honesty: Federated Learning Is Not Private

• arxiv url: http://arxiv.org/abs/2112.02918v1
• Date: Mon, 6 Dec 2021 10:37:03 GMT
• ステータス: 処理完了
• システム内更新日: 2021-12-07 18:24:42.656973
• Title: When the Curious Abandon Honesty: Federated Learning Is Not Private
• Title（参考訳）: 興味ある人が正直を断念する: 連合学習はプライベートではない
• Authors: Franziska Boenisch, Adam Dziedzic, Roei Schuster, Ali Shahin Shamsabadi, Ilia Shumailov, Nicolas Papernot
• Abstract要約: フェデレーション・ラーニング(FL)では、データは機械学習モデルを共同で訓練しているときに個人デバイスを離れない。 本稿では,従来の研究がFLの脆弱性を過小評価していることを論じる。 我々は,共有モデルの重みを変更可能な,活発で不正直な攻撃者を中心的当事者として紹介する。
• 参考スコア（独自算出の注目度）: 26.011857952769933
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: In federated learning (FL), data does not leave personal devices when they are jointly training a machine learning model. Instead, these devices share gradients with a central party (e.g., a company). Because data never "leaves" personal devices, FL is presented as privacy-preserving. Yet, recently it was shown that this protection is but a thin facade, as even a passive attacker observing gradients can reconstruct data of individual users. In this paper, we argue that prior work still largely underestimates the vulnerability of FL. This is because prior efforts exclusively consider passive attackers that are honest-but-curious. Instead, we introduce an active and dishonest attacker acting as the central party, who is able to modify the shared model's weights before users compute model gradients. We call the modified weights "trap weights". Our active attacker is able to recover user data perfectly and at near zero costs: the attack requires no complex optimization objectives. Instead, it exploits inherent data leakage from model gradients and amplifies this effect by maliciously altering the weights of the shared model. These specificities enable our attack to scale to models trained with large mini-batches of data. Where attackers from prior work require hours to recover a single data point, our method needs milliseconds to capture the full mini-batch of data from both fully-connected and convolutional deep neural networks. Finally, we consider mitigations. We observe that current implementations of differential privacy (DP) in FL are flawed, as they explicitly trust the central party with the crucial task of adding DP noise, and thus provide no protection against a malicious central party. We also consider other defenses and explain why they are similarly inadequate. A significant redesign of FL is required for it to provide any meaningful form of data privacy to users.
• Abstract（参考訳）: フェデレートラーニング(FL)では、データは機械学習モデルを共同でトレーニングしているときに個人デバイスを離れない。 代わりに、これらのデバイスは中央のパーティ(例えば会社)と勾配を共有する。 データがパーソナルデバイスを“残す”ことはないため、flはプライバシ保護として提示される。 しかし近年,この保護は薄いファサードに過ぎず,着地勾配を観察するパッシブアタッカーでも個々のユーザーのデータを再構築できることが明らかとなった。 本稿では,先行研究がいまだflの脆弱性を過小評価していると論じる。 これは、それまでの努力が、正直だが正確である受動的攻撃者のみを考慮していたためである。 代わりに、ユーザがモデル勾配を計算する前に共有モデルの重みを変更できる中央党として行動するアクティブで不正な攻撃者を紹介します。 我々は修正重量を「トラップ重量」と呼ぶ。 私たちのアクティブアタッカーは、ユーザーデータを完璧に、ほぼゼロのコストで復元することができます。 代わりに、モデル勾配から固有のデータ漏洩を利用して、共有モデルの重みを悪意を持って変更することで、この効果を増幅する。 これらの特異性により、当社の攻撃は、大規模なミニバッチでトレーニングされたモデルにスケールすることができる。 先行研究のアタッカーが1つのデータポイントを回復するのに何時間もかかる場合,本手法では,完全接続型と畳み込み型の両方の深層ニューラルネットワークからデータの完全なミニバッチをキャプチャするためにミリ秒を要する。 最後に、緩和について考察する。 FLにおける差分プライバシー(DP)の現在の実装は、DPノイズを付加する重要なタスクを中央党に明示的に信頼しており、悪意のある中央党に対する保護を提供していないため、欠陥があることを観察する。 また、他の防衛策も検討し、それらが同様に不十分である理由を説明します。 ユーザに対して有意義なデータプライバシを提供するためには,FLの大幅な再設計が必要である。

関連論文リスト

• Leak and Learn: An Attacker's Cookbook to Train Using Leaked Data from Federated Learning [4.533760678036969]
  フェデレートラーニング(Federated Learning)は、クライアントデータのプライバシを保護するために導入された分散学習パラダイムである。 以前の研究によると、攻撃者はクライアントのアップデートだけを使用してプライベートなトレーニングデータを再構築できる。 我々は、トレーニングレンズによるデータ再構成攻撃を調査し、漏洩したデータを用いてモデルを改善する。
  論文  参考訳（メタデータ） (2024-03-26T23:05:24Z)
• Client-side Gradient Inversion Against Federated Learning from Poisoning [59.74484221875662]
  フェデレートラーニング(FL)により、分散参加者は、データを中央サーバに直接共有することなく、グローバルモデルをトレーニングできる。 近年の研究では、FLは元のトレーニングサンプルの再構築を目的とした勾配反転攻撃(GIA)に弱いことが判明している。 本稿では,クライアント側から起動可能な新たな攻撃手法であるクライアント側中毒性グレーディエント・インバージョン(CGI)を提案する。
  論文  参考訳（メタデータ） (2023-09-14T03:48:27Z)
• Mitigating Adversarial Attacks in Federated Learning with Trusted Execution Environments [1.8240624028534085]
  画像ベースアプリケーションでは、敵対的な例は、局所モデルによって誤って分類される人間の目に対してわずかに摂動した画像で構成されている。 PeltaはTrusted Execution Environments(TEEs)を利用した新しい遮蔽機構で、攻撃者が敵のサンプルを作る能力を減らす。 Peltaは6つのホワイトボックスの対人攻撃を緩和する効果を示した。
  論文  参考訳（メタデータ） (2023-09-13T14:19:29Z)
• LOKI: Large-scale Data Reconstruction Attack against Federated Learning through Model Manipulation [25.03733882637947]
  従来の制限を克服し,アグリゲーションの匿名性を破る攻撃であるLOKIを導入する。 FedAVGと100のクライアントの集約により、以前の作業はMNIST、CIFAR-100、Tiny ImageNetのイメージの1%未満をリークすることができる。 LOKIは1回のトレーニングラウンドのみを使用して、すべてのデータサンプルの76～86%をリークすることができる。
  論文  参考訳（メタデータ） (2023-03-21T23:29:35Z)
• FL-Defender: Combating Targeted Attacks in Federated Learning [7.152674461313707]
  フェデレートラーニング(FL)は、グローバル機械学習モデルを、参加する労働者のセット間で分散されたローカルデータから学習することを可能にする。 FLは、学習モデルの完全性に悪影響を及ぼす標的の毒殺攻撃に対して脆弱である。 FL標的攻撃に対抗する手段として,textitFL-Defenderを提案する。
  論文  参考訳（メタデータ） (2022-07-02T16:04:46Z)
• Do Gradient Inversion Attacks Make Federated Learning Unsafe? [70.0231254112197]
  フェデレートラーニング(FL)は、生データを共有することなく、AIモデルの協調トレーニングを可能にする。 モデル勾配からのディープニューラルネットワークの反転に関する最近の研究は、トレーニングデータの漏洩を防止するためのFLの安全性に関する懸念を提起した。 本研究では,本論文で提示されたこれらの攻撃が実際のFLユースケースでは実行不可能であることを示し,新たなベースライン攻撃を提供する。
  論文  参考訳（メタデータ） (2022-02-14T18:33:12Z)
• Reconstructing Training Data with Informed Adversaries [30.138217209991826]
  機械学習モデルへのアクセスを考えると、敵はモデルのトレーニングデータを再構築できるだろうか? 本研究は、この疑問を、学習データポイントの全てを知っている強力な情報提供者のレンズから研究する。 この厳密な脅威モデルにおいて、残りのデータポイントを再構築することは可能であることを示す。
  論文  参考訳（メタデータ） (2022-01-13T09:19:25Z)
• Robbing the Fed: Directly Obtaining Private Data in Federated Learning with Modified Models [56.0250919557652]
  フェデレーション学習は、ユーザーのプライバシーと効率を高めるという約束で急速に人気を集めている。 ユーザプライバシに対する以前の攻撃はスコープが限られており、少数のデータポイントに集約されたグラデーション更新にはスケールしない。 共有モデルアーキテクチャの最小限ではあるが悪意のある変更に基づく新しい脅威モデルを導入する。
  論文  参考訳（メタデータ） (2021-10-25T15:52:06Z)
• Knowledge-Enriched Distributional Model Inversion Attacks [49.43828150561947]
  モデルインバージョン(MI)攻撃は、モデルパラメータからトレーニングデータを再構成することを目的としている。 本稿では,パブリックデータからプライベートモデルに対する攻撃を行うのに役立つ知識を抽出する,新しい反転型GANを提案する。 実験の結果,これらの手法を組み合わせることで,最先端MI攻撃の成功率を150%向上させることができることがわかった。
  論文  参考訳（メタデータ） (2020-10-08T16:20:48Z)
• How Does Data Augmentation Affect Privacy in Machine Learning? [94.52721115660626]
  拡張データの情報を活用するために,新たなMI攻撃を提案する。 モデルが拡張データで訓練された場合、最適な会員推定値を確立する。
  論文  参考訳（メタデータ） (2020-07-21T02:21:10Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。