核心概念
聯邦學習中的隱私攻擊比預期更具挑戰性,現有的攻擊算法在現實的聯邦學習環境中效果不佳。
摘要
本文系統地概述了聯邦學習中的隱私攻擊,詳細分析了各種攻擊算法的原理、優缺點。作者在真實的聯邦學習環境中進行了大量實驗,評估了9種代表性的攻擊方法的性能。實驗結果顯示,即使在沒有防禦策略的情況下,大多數現有的最先進隱私攻擊算法也無法有效地侵犯客戶的私人數據,這表明聯邦學習中的隱私攻擊比最初預期的更具挑戰性。
具體而言:
大多數攻擊算法能夠從單個數據點或多個平均數據的梯度重建高質量的虛假圖像。但在涉及批量數據的本地平均梯度和多次更新的更複雜的聯邦學習環境中,這些算法表現不佳。
在評估的方法中,Robbing the Fed (RTF)展現了最佳的攻擊性能。但它需要在學習模型前插入一個Imprint模塊,這會顯著降低聯邦學習的訓練性能。
作者提供了一個簡單明了的代碼實現,供研究人員輕鬆實驗不同的隱私攻擊策略並在研究中進行擴展。
統計資料
聯邦學習中的隱私攻擊比最初預期的更具挑戰性。
即使在沒有防禦策略的情況下,大多數現有的最先進隱私攻擊算法也無法有效地侵犯客戶的私人數據。
Robbing the Fed (RTF)展現了最佳的攻擊性能,但需要在學習模型前插入一個Imprint模塊,這會顯著降低聯邦學習的訓練性能。