論文の概要: Combining Stochastic Defenses to Resist Gradient Inversion: An Ablation Study
- arxiv url: http://arxiv.org/abs/2208.04767v2
- Date: Thu, 05 Dec 2024 09:07:23 GMT
- ステータス: 翻訳完了
- システム内更新日: 2024-12-08 16:57:48.446417
- Title: Combining Stochastic Defenses to Resist Gradient Inversion: An Ablation Study
- Title(参考訳): 確率的防御とレジスト・グラディエント・インバージョンを併用したアブレーション研究
- Authors: Daniel Scheliga, Patrick Mäder, Marco Seeland,
- Abstract要約: 差分プライバシー(DP)やプライバシモジュール(PM)のような一般的な防御メカニズムは、そのような攻撃を防ぐために計算中にランダム性を導入する。
本稿では,この原理を応用し,共通防御機構をバイパスするターゲットGI攻撃について紹介する。
- 参考スコア(独自算出の注目度): 6.766058964358335
- License:
- Abstract: Gradient Inversion (GI) attacks are a ubiquitous threat in Federated Learning (FL) as they exploit gradient leakage to reconstruct supposedly private training data. Common defense mechanisms such as Differential Privacy (DP) or stochastic Privacy Modules (PMs) introduce randomness during gradient computation to prevent such attacks. However, we pose that if an attacker effectively mimics a client's stochastic gradient computation, the attacker can circumvent the defense and reconstruct clients' private training data. This paper introduces several targeted GI attacks that leverage this principle to bypass common defense mechanisms. As a result, we demonstrate that no individual defense provides sufficient privacy protection. To address this issue, we propose to combine multiple defenses. We conduct an extensive ablation study to evaluate the influence of various combinations of defenses on privacy protection and model utility. We observe that only the combination of DP and a stochastic PM was sufficient to decrease the Attack Success Rate (ASR) from 100% to 0%, thus preserving privacy. Moreover, we found that this combination of defenses consistently achieves the best trade-off between privacy and model utility.
- Abstract(参考訳): グラディエント・インバージョン(GI)攻撃は、勾配リークを利用してプライベートトレーニングデータの再構成を行うフェデレート・ラーニング(FL)において、ユビキタスな脅威である。
微分プライバシ(DP)や確率プライバシモジュール(PM)のような一般的な防御メカニズムは、そのような攻撃を防ぐために勾配計算中にランダム性を導入する。
しかし,攻撃者がクライアントの確率勾配計算を効果的に模倣すれば,攻撃者は防御を回避し,クライアントのプライベートトレーニングデータを再構築することができる。
本稿では,この原理を応用し,共通防御機構をバイパスするターゲットGI攻撃について紹介する。
その結果、個々の防衛が十分なプライバシー保護を提供していないことが証明された。
この問題に対処するために、我々は複数の防御を組み合わせることを提案する。
プライバシ保護とモデル実用性に対する防衛の様々な組み合わせの影響を評価するために、広範囲にわたるアブレーション研究を行っている。
DPと確率的PMの組み合わせだけで、攻撃成功率(ASR)を100%から0%に下げることができ、プライバシーを保護できる。
さらに、この防御の組み合わせは、プライバシーとモデルユーティリティの最良のトレードオフを一貫して達成することがわかった。
関連論文リスト
- Evaluating the Robustness of the "Ensemble Everything Everywhere" Defense [90.7494670101357]
あらゆるものをアンサンブルすることは、敵の例に対する防御である。
この防御は敵の攻撃に対して堅牢ではないことを示す。
次に、標準的なアダプティブアタック技術を用いて、防御の堅牢な精度を低下させる。
論文 参考訳(メタデータ) (2024-11-22T10:17:32Z) - Privacy-preserving Universal Adversarial Defense for Black-box Models [20.968518031455503]
本稿では,対象モデルのパラメータやアーキテクチャへのアクセスを必要としない,汎用的なブラックボックス防御手法であるDUCDを紹介する。
このアプローチでは、データをクエリすることでターゲットモデルをクエリし、データのプライバシを保持しながら、ホワイトボックスサロゲートを生成します。
複数の画像分類データセットの実験では、DUCDは既存のブラックボックスディフェンスよりも優れており、ホワイトボックスディフェンスの精度と一致している。
論文 参考訳(メタデータ) (2024-08-20T08:40:39Z) - BadCLIP: Dual-Embedding Guided Backdoor Attack on Multimodal Contrastive
Learning [85.2564206440109]
本報告では,防衛後においてもバックドア攻撃が有効であり続けるという現実的なシナリオにおける脅威を明らかにする。
バックドア検出や細調整防御のモデル化に抵抗性のあるemphtoolnsアタックを導入する。
論文 参考訳(メタデータ) (2023-11-20T02:21:49Z) - FLIP: A Provable Defense Framework for Backdoor Mitigation in Federated
Learning [66.56240101249803]
我々は,クライアントの強固化がグローバルモデル(および悪意のあるクライアント)に与える影響について検討する。
本稿では, 逆エンジニアリングによる防御手法を提案するとともに, 堅牢性を保証して, 改良を実現できることを示す。
競合する8つのSOTA防御法について, 単発および連続のFLバックドア攻撃に対して, 提案手法の実証的優位性を示した。
論文 参考訳(メタデータ) (2022-10-23T22:24:03Z) - Learning to Invert: Simple Adaptive Attacks for Gradient Inversion in
Federated Learning [31.374376311614675]
グラディエント・インバージョン・アタックは、フェデレート学習におけるモデル勾配からのトレーニングサンプルの回復を可能にする。
既存の防御は、単純な適応攻撃によって破壊される可能性があることを示す。
論文 参考訳(メタデータ) (2022-10-19T20:41:30Z) - Defense Against Gradient Leakage Attacks via Learning to Obscure Data [48.67836599050032]
フェデレートラーニングは、効果的なプライバシー保護学習メカニズムと考えられている。
本稿では,不明瞭なデータに学習することで,クライアントのデータ保護のための新しい防御手法を提案する。
論文 参考訳(メタデータ) (2022-06-01T21:03:28Z) - One Parameter Defense -- Defending against Data Inference Attacks via
Differential Privacy [26.000487178636927]
機械学習モデルは、メンバシップ推論やモデル反転攻撃のようなデータ推論攻撃に弱い。
既存の防衛方法は、メンバーシップ推論攻撃からのみ保護する。
両攻撃を時間効率で処理する差分プライベートディフェンス法を提案する。
論文 参考訳(メタデータ) (2022-03-13T06:06:24Z) - Defending against Reconstruction Attacks with R\'enyi Differential
Privacy [72.1188520352079]
レコンストラクション攻撃により、敵は訓練されたモデルのみにアクセスすることで、トレーニングセットのデータサンプルを再生することができる。
差別化プライバシはこのような攻撃に対する既知の解決策であるが、比較的大きなプライバシ予算で使用されることが多い。
また、同機構により、従来の文献よりも優れた復元攻撃に対するプライバシー保証を導出できることを示す。
論文 参考訳(メタデータ) (2022-02-15T18:09:30Z) - Evaluating Gradient Inversion Attacks and Defenses in Federated Learning [43.993693910541275]
本稿では,既存の攻撃と,勾配反転攻撃に対する防御について検討する。
提案する3つの防御機構のプライバシー漏洩とデータユーティリティのトレードオフを示す。
我々の研究結果は、現在最先端の攻撃は、小さなデータユーティリティー損失で防御可能であることを示唆している。
論文 参考訳(メタデータ) (2021-11-30T19:34:16Z) - DP-InstaHide: Provably Defusing Poisoning and Backdoor Attacks with
Differentially Private Data Augmentations [54.960853673256]
混合や無作為な付加ノイズなどの強いデータ拡張は、わずかな精度のトレードオフに耐えながら、毒の攻撃を無効にする。
DP-InstaHideの厳密な分析によると、ミキサップは確かにプライバシー上の利点があり、kウェイミキサップによるトレーニングは、単純DPメカニズムよりも少なくともk倍強いDP保証が得られる。
論文 参考訳(メタデータ) (2021-03-02T23:07:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。