Fugu-MT 論文翻訳(概要): Your Privacy My Cloak: Backdoor Attacks on Differentially Private Federated Learning

論文の概要: Your Privacy My Cloak: Backdoor Attacks on Differentially Private Federated Learning

arxiv url: http://arxiv.org/abs/2606.17035v1
Date: Mon, 15 Jun 2026 17:53:12 GMT
ステータス: 翻訳完了
システム内更新日: 2026-06-16 18:36:05.135735
Title: Your Privacy My Cloak: Backdoor Attacks on Differentially Private Federated Learning
Title（参考訳）: プライバシーの秘密: 個人的個人的学習に対するバックドア攻撃
Authors: Xiaolin Li, Ning Wang, Ninghui Li, Wenhai Sun,
Abstract要約: 攻撃効果を最大化しつつ、悪意ある貢献を隠蔽するためにDPを利用した新たな攻撃であるRingを提案する。リングは、適度なプライバシー予算の下で6つの最先端防衛に対して90.3%の平均的な攻撃成功率を達成した。この脅威を緩和することは、大きなユーティリティトレードオフを引き起こし、差分的にプライベートなFLの展開において、基本的なセキュリティギャップを露呈することを発見した。
参考スコア（独自算出の注目度）: 11.161565033756096
License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
Abstract: Prior research suggests that differential privacy (DP) inherently enhances the robustness of federated learning (FL) against backdoor attacks. In this paper, we challenge this assumption. Through an empirical analysis of two baseline attack strategies, we uncover a fundamental tension in DP-FL: while bypassing DP allows state-of-the-art defenses to detect and filter malicious updates, complying with DP inadvertently masks their distinguishing statistical characteristics. Consequently, existing defenses become ineffective as DP reduces the raw backdoor signal. Building on this masking effect, we propose RING, a novel attack that explicitly exploits DP to conceal malicious contributions while maximizing attack impact. By collaboratively crafting adversarial perturbations, compromised clients reconstruct a strong backdoor signal during aggregation without triggering anomaly detection. RING operates as a perturbation layer that is agnostic to the underlying backdoor technique, making it broadly applicable and composable with existing attacks -- a property that significantly amplifies the threat it poses to DP-FL. Extensive evaluations across four image and text datasets under non-iid distributions show that RING achieves an average attack success rate of 90.3% against six state-of-the-art defenses under a moderate privacy budget, an improvement of up to 26.08x over baseline strategies. Finally, we evaluate potential countermeasures and find that mitigating this threat incurs significant utility trade-offs, exposing a fundamental security gap in the deployment of differentially private FL.
Abstract（参考訳）: 従来の研究では、差分プライバシー(DP)は本質的に、バックドア攻撃に対する連邦学習(FL)の堅牢性を高めることが示唆されていた。本稿では,この仮定に挑戦する。 2つのベースライン攻撃戦略を実証分析することにより,DP-FLの基本的な緊張関係を明らかにする。これにより、DPが生のバックドア信号を減少させるため、既存の防御は効果がなくなる。このマスキング効果に基づいて,攻撃効果を最大化しながら悪意ある貢献を隠蔽するためにDPを明示的に悪用する新たな攻撃法であるRingを提案する。敵の摂動を協調的に作ることで、侵入したクライアントは、異常検出を発生させることなくアグリゲーション中に強力なバックドア信号を再構築する。 RINGは基盤となるバックドアテクニックとは無関係な摂動層として機能し、既存の攻撃に広く適用され、構成可能である。非id分布下の4つの画像およびテキストデータセットの大規模な評価は、Ringが適度なプライバシー予算の下で6つの最先端防衛に対して90.3%の平均的な攻撃成功率を達成し、ベースライン戦略を最大26.08倍改善していることを示している。最後に、潜在的な対策の評価を行い、この脅威の緩和が重要なユーティリティトレードオフを引き起こし、微分プライベートFLの展開における基本的なセキュリティギャップを露呈することを発見した。

関連論文リスト

MARS: A Malignity-Aware Backdoor Defense in Federated Learning [51.77354308287098]
最近提案されたSOTA攻撃(3DFed)は、ディフェンダーがバックドアモデルを受け入れたかどうかを判断するためにインジケータ機構を使用する。本稿では,各ニューロンの有害な範囲を示すためにバックドアエネルギーを利用するMARS(Maignity-Aware backdooR defenSe)を提案する。実験により、MARSはSOTAのバックドア攻撃に対して防御でき、既存の防御を著しく上回っていることが示された。
論文参考訳（メタデータ） (2025-09-21T14:50:02Z)
Beyond the Worst Case: Extending Differential Privacy Guarantees to Realistic Adversaries [17.780319275883127]
差別化プライバシ(differial Privacy)は、メカニズムの最悪のプライバシー漏洩に結びつく定義のファミリーである。この研究は、現実のプライバシーリスクを代表する攻撃者の成功について、DPの最悪の保証がどんな意味を持つのかを浮き彫りにしている。
論文参考訳（メタデータ） (2025-07-10T20:36:31Z)
Neural Antidote: Class-Wise Prompt Tuning for Purifying Backdoors in CLIP [51.04452017089568]
CBPT(Class-wise Backdoor Prompt Tuning)は、テキストプロンプトでCLIPを間接的に浄化する効率的な防御機構である。 CBPTは、モデルユーティリティを保持しながら、バックドアの脅威を著しく軽減する。
論文参考訳（メタデータ） (2025-02-26T16:25:15Z)
From Mean to Extreme: Formal Differential Privacy Bounds on the Success of Real-World Data Reconstruction Attacks [54.25638567385662]
機械学習における微分プライバシーは、しばしばメンバーシップ推論に対する保証として解釈される。 DP予算を定量的な保護に翻訳することで、データ再構築の脅威を悪化させることは、依然として困難な課題である。本稿では、実証された"ゼロスクラッチ"攻撃のメカニズムに合わせた、最初の公式なプライバシー境界を導出することで、臨界ギャップを埋める。
論文参考訳（メタデータ） (2024-02-20T09:52:30Z)
Does Differential Privacy Prevent Backdoor Attacks in Practice? [8.951356689083166]
機械学習モデルにおけるバックドア攻撃防止における差分プライバシー手法の有効性について検討する。本稿では,DP-SGD と PATE の高速かつ高精度な代替手段として Label-DP を提案する。
論文参考訳（メタデータ） (2023-11-10T18:32:08Z)
Avoid Adversarial Adaption in Federated Learning by Multi-Metric Investigations [55.2480439325792]
Federated Learning(FL)は、分散機械学習モデルのトレーニング、データのプライバシの保護、通信コストの低減、多様化したデータソースによるモデルパフォーマンスの向上を支援する。 FLは、中毒攻撃、標的外のパフォーマンス劣化とターゲットのバックドア攻撃の両方でモデルの整合性を損なうような脆弱性に直面している。我々は、複数の目的に同時に適応できる、強い適応的敵の概念を新たに定義する。 MESASは、実際のデータシナリオで有効であり、平均オーバーヘッドは24.37秒である。
論文参考訳（メタデータ） (2023-06-06T11:44:42Z)
Bounding Training Data Reconstruction in DP-SGD [42.36933026300976]
異なるプライベートトレーニングは、通常、メンバーシップ推論攻撃に対する保証として解釈される保護を提供する。プロキシによって、この保証は、完全なトレーニング例を抽出しようとする再構築攻撃のような他の脅威にまで拡張される。最近の研究は、もしメンバーシップ攻撃から保護する必要がなく、訓練データ再構成から保護することだけを望むなら、プライベートモデルの実用性を改善することができるという証拠を提供している。
論文参考訳（メタデータ） (2023-02-14T18:02:34Z)
FLIP: A Provable Defense Framework for Backdoor Mitigation in Federated Learning [66.56240101249803]
我々は,クライアントの強固化がグローバルモデル(および悪意のあるクライアント)に与える影響について検討する。本稿では, 逆エンジニアリングによる防御手法を提案するとともに, 堅牢性を保証して, 改良を実現できることを示す。競合する8つのSOTA防御法について, 単発および連続のFLバックドア攻撃に対して, 提案手法の実証的優位性を示した。
論文参考訳（メタデータ） (2022-10-23T22:24:03Z)
DP-InstaHide: Provably Defusing Poisoning and Backdoor Attacks with Differentially Private Data Augmentations [54.960853673256]
混合や無作為な付加ノイズなどの強いデータ拡張は、わずかな精度のトレードオフに耐えながら、毒の攻撃を無効にする。 DP-InstaHideの厳密な分析によると、ミキサップは確かにプライバシー上の利点があり、kウェイミキサップによるトレーニングは、単純DPメカニズムよりも少なくともk倍強いDP保証が得られる。
論文参考訳（メタデータ） (2021-03-02T23:07:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。