Exploration des vulnérabilités de l'apprentissage fédéré : une plongée approfondie dans les attaques par inversion de gradient
Exploring the Vulnerabilities of Federated Learning: A Deep Dive into Gradient Inversion Attacks
March 13, 2025
Auteurs: Pengxin Guo, Runxi Wang, Shuang Zeng, Jinjing Zhu, Haoning Jiang, Yanran Wang, Yuyin Zhou, Feifei Wang, Hui Xiong, Liangqiong Qu
cs.AI
Résumé
L'apprentissage fédéré (Federated Learning, FL) s'est imposé comme un paradigme prometteur pour l'entraînement collaboratif de modèles tout en préservant la confidentialité des données brutes. Cependant, des études récentes ont révélé que des informations privées peuvent encore être divulguées via les gradients partagés et être exploitées par des attaques d'inversion de gradients (Gradient Inversion Attacks, GIA). Bien que de nombreuses méthodes de GIA aient été proposées, une analyse détaillée, une évaluation et une synthèse de ces méthodes font encore défaut. Bien que divers articles de synthèse résument les attaques existantes contre la confidentialité dans le FL, peu d'études ont mené des expérimentations approfondies pour révéler l'efficacité des GIA et les facteurs limitants associés dans ce contexte. Pour combler cette lacune, nous entreprenons d'abord une revue systématique des GIA et classons les méthodes existantes en trois catégories : les GIA basées sur l'optimisation (OP-GIA), les GIA basées sur la génération (GEN-GIA) et les GIA basées sur l'analyse (ANA-GIA). Ensuite, nous analysons et évaluons de manière exhaustive ces trois types de GIA dans le FL, en fournissant des insights sur les facteurs qui influencent leur performance, leur praticabilité et leurs menaces potentielles. Nos résultats indiquent que l'OP-GIA est le cadre d'attaque le plus pratique malgré ses performances insatisfaisantes, tandis que la GEN-GIA présente de nombreuses dépendances et que l'ANA-GIA est facilement détectable, les rendant toutes deux peu pratiques. Enfin, nous proposons un pipeline de défense en trois étapes aux utilisateurs lors de la conception de frameworks et de protocoles FL pour une meilleure protection de la confidentialité, et partageons quelques directions de recherche futures que nous estimons prioritaires, tant du point de vue des attaquants que des défenseurs. Nous espérons que notre étude aidera les chercheurs à concevoir des frameworks FL plus robustes pour se prémunir contre ces attaques.
English
Federated Learning (FL) has emerged as a promising privacy-preserving
collaborative model training paradigm without sharing raw data. However, recent
studies have revealed that private information can still be leaked through
shared gradient information and attacked by Gradient Inversion Attacks (GIA).
While many GIA methods have been proposed, a detailed analysis, evaluation, and
summary of these methods are still lacking. Although various survey papers
summarize existing privacy attacks in FL, few studies have conducted extensive
experiments to unveil the effectiveness of GIA and their associated limiting
factors in this context. To fill this gap, we first undertake a systematic
review of GIA and categorize existing methods into three types, i.e.,
optimization-based GIA (OP-GIA), generation-based GIA
(GEN-GIA), and analytics-based GIA (ANA-GIA). Then, we comprehensively
analyze and evaluate the three types of GIA in FL, providing insights into the
factors that influence their performance, practicality, and potential threats.
Our findings indicate that OP-GIA is the most practical attack setting despite
its unsatisfactory performance, while GEN-GIA has many dependencies and ANA-GIA
is easily detectable, making them both impractical. Finally, we offer a
three-stage defense pipeline to users when designing FL frameworks and
protocols for better privacy protection and share some future research
directions from the perspectives of attackers and defenders that we believe
should be pursued. We hope that our study can help researchers design more
robust FL frameworks to defend against these attacks.Summary
AI-Generated Summary