論文の概要: ARES: Scalable and Practical Gradient Inversion Attack in Federated Learning through Activation Recovery
- arxiv url: http://arxiv.org/abs/2603.17623v1
- Date: Wed, 18 Mar 2026 11:40:44 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-03-19 18:32:57.670276
- Title: ARES: Scalable and Practical Gradient Inversion Attack in Federated Learning through Activation Recovery
- Title(参考訳): ARES: 活性化回復によるフェデレーション学習におけるスケーラブルで実用的なグラディエント・インバージョン・アタック
- Authors: Zirui Gong, Leo Yu Zhang, Yanjun Zhang, Viet Vo, Tianqing Zhu, Shirui Pan, Cong Wang,
- Abstract要約: Federated Learning(FL)は、モデルの更新を生データではなく共有することで、ユーザのプライバシ保護を目的としたコラボレーションモデルトレーニングを可能にする。
最近の研究によると、これらの共有更新は、勾配反転攻撃(GIA)を通じて、不注意にセンシティブなトレーニングデータを漏洩する可能性がある。
- 参考スコア(独自算出の注目度): 73.8181449261685
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Federated Learning (FL) enables collaborative model training by sharing model updates instead of raw data, aiming to protect user privacy. However, recent studies reveal that these shared updates can inadvertently leak sensitive training data through gradient inversion attacks (GIAs). Among them, active GIAs are particularly powerful, enabling high-fidelity reconstruction of individual samples even under large batch sizes. Nevertheless, existing approaches often require architectural modifications, which limit their practical applicability. In this work, we bridge this gap by introducing the Activation REcovery via Sparse inversion (ARES) attack, an active GIA designed to reconstruct training samples from large training batches without requiring architectural modifications. Specifically, we formulate the recovery problem as a noisy sparse recovery task and solve it using the generalized Least Absolute Shrinkage and Selection Operator (Lasso). To extend the attack to multi-sample recovery, ARES incorporates the imprint method to disentangle activations, enabling scalable per-sample reconstruction. We further establish the expected recovery rate and derive an upper bound on the reconstruction error, providing theoretical guarantees for the ARES attack. Extensive experiments on CNNs and MLPs demonstrate that ARES achieves high-fidelity reconstruction across diverse datasets, significantly outperforming prior GIAs under large batch sizes and realistic FL settings. Our results highlight that intermediate activations pose a serious and underestimated privacy risk in FL, underscoring the urgent need for stronger defenses.
- Abstract(参考訳): Federated Learning(FL)は、モデルの更新を生データではなく共有することで、ユーザのプライバシ保護を目的としたコラボレーションモデルトレーニングを可能にする。
しかし、最近の研究では、これらの共有更新は、勾配反転攻撃(GIAs)を通じて、不注意にセンシティブなトレーニングデータを漏洩させる可能性があることが示されている。
その中でも、アクティブなGIAは特に強力で、大規模なバッチサイズでも個々のサンプルを高忠実に再構築することができる。
それにもかかわらず、既存のアプローチはアーキテクチャの変更を必要とすることが多く、実用性は制限される。
本研究では,大規模なトレーニングバッチからのトレーニングサンプルをアーキテクチャ変更を必要とせずに再構築するアクティブGIAである,スパースインバージョン(ARES)攻撃によるActivation Recoveryの導入により,このギャップを埋める。
具体的には、ノイズの多いスパースリカバリタスクとしてリカバリ問題を定式化し、一般化されたLeast Absolute Shrinkage and Selection Operator(Lasso)を用いて解決する。
攻撃をマルチサンプルリカバリに拡張するために、ARESはインプリントメソッドを組み込んでアクティベーションをアンタングルし、スケーラブルなサンプル単位の再構築を可能にする。
我々はさらに、ARES攻撃の理論的保証として、予測回復率を確立し、再建誤差の上限を導出する。
CNNとMLPの大規模な実験により、ARESは多様なデータセットをまたいだ高忠実度再構成を実現し、大きなバッチサイズと現実的なFL設定下でのGIAよりも大幅に優れていた。
われわれの結果は、中程度のアクティベーションがFLのプライバシーリスクを深刻かつ過小評価し、より強力な防衛の必要性を浮き彫りにしていることを示している。
関連論文リスト
- Deep Leakage with Generative Flow Matching Denoiser [54.05993847488204]
再建プロセスに先立って生成フローマッチング(FM)を組み込んだ新しい深部リーク攻撃(DL)を導入する。
当社のアプローチは、ピクセルレベル、知覚的、特徴に基づく類似度測定において、最先端の攻撃よりも一貫して優れています。
論文 参考訳(メタデータ) (2026-01-21T14:51:01Z) - SPEAR++: Scaling Gradient Inversion via Sparsely-Used Dictionary Learning [48.41770886055744]
Federated Learningは最近、現実世界のシナリオへのデプロイが増えている。
いわゆる勾配反転攻撃の導入は、プライバシー保護特性に挑戦している。
本稿では,ReLU活性化を伴う線形層の勾配の理論的解析に基づくSPEARを紹介する。
新たな攻撃であるSPEAR++は、DPノイズに対する堅牢性やFedAvgアグリゲーションなど、SPEARの望ましい特性をすべて保持しています。
論文 参考訳(メタデータ) (2025-10-28T09:06:19Z) - Revisiting the Privacy Risks of Split Inference: A GAN-Based Data Reconstruction Attack via Progressive Feature Optimization [49.32786615205064]
Split Inference (SI)は、エッジデバイスとクラウドの間の計算を分割することで、レイテンシを低減し、ユーザのプライバシを保護する。
データ再構成攻撃(DRA)の最近の進歩は、SIで交換された中間的特徴を利用して機密入力データを復元できることを明らかにしている。
既存のDRAは一般的に浅いモデルにのみ有効であり、セマンティックな事前を十分に活用できない。
本稿では,プログレッシブ・フィーチャー・オプティマイゼーション(PFO)を用いた新しいGANベースのDRAフレームワークを提案する。
論文 参考訳(メタデータ) (2025-08-28T10:00:39Z) - Geminio: Language-Guided Gradient Inversion Attacks in Federated Learning [18.326636715274372]
視覚言語モデル(VLM)は、連邦学習(FL)における勾配反転攻撃(GIA)を強化するために武器化することができる。
我々は、GAAを意味論的に意味のある標的攻撃に変換する最初のアプローチであるGeminioを提案する。
攻撃者は自然言語で、彼らが価値と考えるデータを記述でき、Geminioはそれらの高価値なサンプルにフォーカスするために再構築を優先する。
論文 参考訳(メタデータ) (2024-11-22T13:49:56Z) - Attribute Inference Attacks for Federated Regression Tasks [14.152503562997662]
フェデレートラーニング(FL)は、クライアントがデータをローカライズしながら、グローバルな機械学習モデルを協調的にトレーニングすることを可能にする。
近年の研究では、FLの訓練段階が再建攻撃に弱いことが判明している。
FL環境における回帰タスクに特化したモデルベースAIAを提案する。
論文 参考訳(メタデータ) (2024-11-19T18:06:06Z) - GI-NAS: Boosting Gradient Inversion Attacks Through Adaptive Neural Architecture Search [52.27057178618773]
グラディエント・インバージョン・アタック (Gradient Inversion Attacks) は、Federated Learning (FL) システムの伝達勾配を反転させ、ローカルクライアントの機密データを再構築する。
勾配反転法の大半は明示的な事前知識に大きく依存しており、現実的なシナリオでは利用できないことが多い。
本稿では,ニューラルネットワークを適応的に探索し,ニューラルネットワークの背後にある暗黙の先行情報をキャプチャするニューラルアーキテクチャ探索(GI-NAS)を提案する。
論文 参考訳(メタデータ) (2024-05-31T09:29:43Z) - AdaIR: Exploiting Underlying Similarities of Image Restoration Tasks with Adapters [57.62742271140852]
AdaIRは、パフォーマンスを犠牲にすることなく、低コストで効率的なトレーニングを可能にする新しいフレームワークである。
AdaIRは軽量でタスク固有のモジュールのトレーニングのみを必要とし、より効率的なストレージとトレーニング体制を確保する。
論文 参考訳(メタデータ) (2024-04-17T15:31:06Z) - Exploring the Security Boundary of Data Reconstruction via Neuron
Exclusivity Analysis [23.07323180340961]
線形整列ユニット(ReLUs)を用いたニューラルネットワーク上の微視的視点による勾配からのデータ再構成のセキュリティ境界について検討する。
ニューラルネットワークの安全性の低い境界にある訓練バッチの再構築において,従来の攻撃よりも大幅に優れる新しい決定論的攻撃アルゴリズムを構築した。
論文 参考訳(メタデータ) (2020-10-26T05:54:47Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。