目录
推理攻击
在联邦学习中,推理攻击是指攻击者试图从模型参数、梯度信息等间接推断出敏感信息的攻击行为。根据攻击者的目的,推理攻击可以分为以下几种类型:
-
模型逆向攻击(Model Inversion Attacks):攻击者企图从模型中获取训练数据集的原始数据信息。
-
属性推理攻击(Property Inference Attacks, PIA):攻击者企图获取训练数据集的统计信息,如某些属性人群的比例等。
-
成员推理攻击(Membership Inference Attacks, MIA):攻击者企图获知某一条给定数据是否在目标模型的训练集中(利用目标模型的输出推断)。
-
模型推理攻击(Model Inference Attacks):也称为模型提取攻击(Model Extraction Attack, MEA),目标是生成一个与目标模型相似的替代模型。这种攻击在传统机器学习中更常见,而在联邦学习中较少见。
在联邦学习中,推理攻击的具体表现可以进一步分为针对聚合梯度的攻击和针对全局模型的攻击。例如,在纵向联邦学习中,攻击者可能通过一定的方法获取目标方的目标值,即被动方的隐私数据。此外,还有研究提出了针对纵向联邦学习的标签推理攻击,包括被动标签推理攻击、主动标签推理攻击和直接标签推理攻击。
为了防御这些推理攻击,联邦学习领域也发展出了多种防御手段,包括数据消毒、鲁棒性聚合、异常检测、对抗训练、知识蒸馏、剪枝等方法。这些防御手段旨在提升联邦学习系统的鲁棒性,保护系统不受对抗性攻击的影响,同时也保护用户的隐私不被非对抗性攻击所侵犯。