这篇文章还是说的在联邦学习中的梯度传递策略会导致重建客户端数据的攻击,然后表明已有研究证明梯度模糊--通过梯度噪声注入的模糊和通过梯度压缩的无意模糊,可以提供更多的隐私,防止重建攻击。
主要工作
1.提出了改进重建质量的联邦学习 重建攻击框架,证明了以前的梯度压缩如(QSGD和Top-k sparsification)不能有效的防止隐私泄露
2.评估了几种干扰模型更新或特征的现有防御方案,这些防御仍然容易受到敌人的攻击,因此提倡在联合学习中更有效的隐私保护设计的重要性。
3.从语义层面探讨了一种图像重建攻击,并测量了相应的图像隐私泄漏。尽管重建不一定逐像素地匹配原始图像,但私有信息仍可能被对手利用。
2.Related Work
2.1 Federated Learning and Client Privacy
主要介绍了联邦学习背景知识
联邦学习中涉及数据隐私和模型机密性的攻击可分为三种类型:成员推理攻击、模型反演/数据重建攻击和属性推理攻击
本文工作
提出了一种新的高分辨率攻击框架联邦学习中的图像数据重建。通过假设成功的分析标签恢复并改进设计以减少未知量中的冗余,提高了重建图像的质量和攻击算法的效率。
2.2 Attack Evaluation and Privacy Loss
该部分主要介绍了目前的各种攻击评估指标被用作衡量隐私损失的代理。如以下方法判断数据重建是否与原始图像靠近:传统的图像相似性或重建图像与原始数据之间的距离作为评估指标,包括均方误差(MSE)、峰值信号-噪声(PSNR)和结构相似性指数测度(SSIM)
本文工作
演示了攻击者如何揭示原始图像中的高级语义(我觉得这里提到的高级语义应该包含了用户的隐私数据),这些语义可能不会被图像相似性分数(如SSIM或PSNR)捕获在现有评估的基础上,强调了重新审视联邦学习中隐私泄漏问题的重要性。我们进一步提出了一种评估语义隐私损失的方法。
相当于是提出了一种新的评估重建数据的方法
图片来自:https://zhuanlan.zhihu.com/p/338591997
2.3 Privacy Enhancement and Defense
介绍了目前一些主流的联邦学习中的防御手段:如同态加密、梯度扰动、差分隐私
本文工作
对各种梯度混淆防御方案进行攻击,包括梯度压缩,差分私人训练]和表示扰动.
3 Preliminaries
这章主要是预备知识-联邦学习的优化框架FedAvg,给出了他的优化函数和权重更新等公式(感兴趣的可以自己去看看),最后介绍了4种减少交流效率和保护隐私的梯度压缩方法。
4 Reconstruction From Obfuscated Gradient
4.1 Attack Scheme
present our framework toreconstruct image data from theobfuscatedgradient (ROG)
这张图是文章中的攻击方法的图解,详细步骤在后面讲
4.1Attack Scheme
该攻击方法一共分为4步
- 攻击者选择一个标签y,然后图片选择x,这个图片x是随机生成的(可以通过使用从高斯分布或均匀分布中提取的独立随机变量来随机初始化图像)。然后把x进行一个映射操作,如下图,这个enc可以是一个下采样函数或者神经网络编码器
2.使用解码器dec()函数讲Zm,i 反映射回X’m,i 然后将X’m,i与标签y喂到联邦学习采用的模型中,计算出梯度
3.这里注意会有两个梯度,一个梯度是客户端图片X与标签Y通过联邦模型出来的梯度;第二个梯度就是随机生成的图片X‘然后编码成Z’再解码为Xm,i的图片与标签Y通过联邦模型出来的梯度,在进行一个最小化
4.误差低于阈值或经过一些预定义的迭代次数后,优化终止时,我们解码Z得到X、 并使用后处理工具来提高X图像质量。
4.2 Realizations and Comparisons
这一小节是对4.1的具体实现,在这里我只是为了先寻找数据生成方法可行性,所以对其具体实现就不过多描述,如果最后采用该方法,再进行详解。
因为时间问题,我快速浏览了后面的实验部分,发现与自己要找的有些不一致。