本文提出了一種新的主題級別來源推論攻擊(SLSIA),用於檢測在跨機構聯邦學習中使用目標主題資料的所有本地客戶。
主要內容如下:
提出SLSIA攻擊目標和威脅模型。SLSIA的目標是檢測所有使用目標主題資料訓練本地模型的客戶,而不僅僅是單一客戶。攻擊者(誠實但好奇的中央服務器)擁有目標主題的一部分資料,以及其他主題的資料,並知道本地模型的結構和超參數。
詳細介紹SLSIA的方法論。SLSIA包括三個階段:1)預訓練模型,2)提取嵌入特徵訓練攻擊模型,3)評估本地模型以預測哪些客戶使用目標主題資料。預訓練模型包括使用目標主題資料和其他主題資料訓練的模型,攻擊模型利用這些嵌入特徵進行二元分類。
在三個數據集(FEMNIST、Shakespeare和合成數據集)上評估SLSIA的性能。結果顯示,SLSIA顯著優於基線方法,最高平均準確率達到0.88。分析表明,主題資料分佈差異越大的數據集越容易受到SLSIA的攻擊。
探討了基於項目級和主題級差分隱私的防禦措施。雖然差分隱私可以降低攻擊準確率,但也會大幅降低模型效用。大多數配置下,這些防禦措施無法完全阻止SLSIA。
總之,本文提出了一種新的SLSIA攻擊,能夠有效檢測跨機構聯邦學習中使用目標主題資料的所有本地客戶,為資料使用審核提供了一種實用的工具。
翻譯成其他語言
從原文內容
arxiv.org
深入探究