核心概念
本文提出了一種新的主題級別來源推論攻擊(SLSIA),能夠有效地檢測在跨機構聯邦學習中使用目標主題資料的所有本地客戶。SLSIA顯著優於現有的方法,在三個數據集上的最高平均準確率達到0.88。
摘要
本文提出了一種新的主題級別來源推論攻擊(SLSIA),用於檢測在跨機構聯邦學習中使用目標主題資料的所有本地客戶。
主要內容如下:
提出SLSIA攻擊目標和威脅模型。SLSIA的目標是檢測所有使用目標主題資料訓練本地模型的客戶,而不僅僅是單一客戶。攻擊者(誠實但好奇的中央服務器)擁有目標主題的一部分資料,以及其他主題的資料,並知道本地模型的結構和超參數。
詳細介紹SLSIA的方法論。SLSIA包括三個階段:1)預訓練模型,2)提取嵌入特徵訓練攻擊模型,3)評估本地模型以預測哪些客戶使用目標主題資料。預訓練模型包括使用目標主題資料和其他主題資料訓練的模型,攻擊模型利用這些嵌入特徵進行二元分類。
在三個數據集(FEMNIST、Shakespeare和合成數據集)上評估SLSIA的性能。結果顯示,SLSIA顯著優於基線方法,最高平均準確率達到0.88。分析表明,主題資料分佈差異越大的數據集越容易受到SLSIA的攻擊。
探討了基於項目級和主題級差分隱私的防禦措施。雖然差分隱私可以降低攻擊準確率,但也會大幅降低模型效用。大多數配置下,這些防禦措施無法完全阻止SLSIA。
總之,本文提出了一種新的SLSIA攻擊,能夠有效檢測跨機構聯邦學習中使用目標主題資料的所有本地客戶,為資料使用審核提供了一種實用的工具。
統計資料
在FEMNIST數據集上,本地客戶在第一輪聯邦學習中的數字分類任務準確率約為6%到18%。
在Shakespeare數據集上,本地客戶在第一輪聯邦學習中的下一個詞預測任務準確率約為1%到4%。
在合成數據集上,本地客戶在第一輪聯邦學習中的XOR值預測任務準確率約為40%到80%。