核心概念
連邦学習における勾配逆転攻撃は、共有された勾配から私的なデータを正確に復元できるという深刻な脅威を示している。しかし、従来の手法は非現実的な前提条件を必要としており、連邦学習の基本的なデータ分割原則に違反している。本研究では、実用的な補助データを利用して勾配逆転攻撃を行うGI-PIPを提案し、より現実的な脅威モデルに基づいて攻撃性能を向上させている。
要約
本研究では、連邦学習における勾配逆転攻撃の脅威モデルを再評価し、標準化している。特に、攻撃者が補助データを収集する能力に着目している。
提案手法のGI-PIPは、異常検知モデルを利用して補助データの潜在分布を抽出し、これを攻撃最適化プロセスを制御するための正則化項として活用している。
実験結果から、GI-PIPは従来手法と比較して、より少ない補助データで高い攻撃性能を達成できることが示されている。また、分布の一般化能力においても優れていることが確認された。
これらの結果は、GI-PIPが現実世界の連邦学習に対する深刻な脅威となることを示唆している。
統計
ImageNetデータセットの3.8%のみを使用してGI-PIPを適用した場合、16.12 dBのPSNR値を達成した。一方、GAN系の手法では70%以上の補助データが必要とされた。