Esplorare le Vulnerabilità del Federated Learning: Un'Analisi Approfondita sugli Attacchi di Inversione del Gradiente
Exploring the Vulnerabilities of Federated Learning: A Deep Dive into Gradient Inversion Attacks
March 13, 2025
Autori: Pengxin Guo, Runxi Wang, Shuang Zeng, Jinjing Zhu, Haoning Jiang, Yanran Wang, Yuyin Zhou, Feifei Wang, Hui Xiong, Liangqiong Qu
cs.AI
Abstract
Il Federated Learning (FL) è emerso come un paradigma promettente per l'addestramento collaborativo di modelli preservando la privacy, senza la necessità di condividere dati grezzi. Tuttavia, studi recenti hanno rivelato che informazioni private possono comunque essere trapelate attraverso i gradienti condivisi e attaccate tramite Gradient Inversion Attacks (GIA). Sebbene siano stati proposti molti metodi GIA, manca ancora un'analisi dettagliata, una valutazione e una sintesi di questi approcci. Nonostante vari articoli di survey riassumano gli attacchi alla privacy esistenti nel FL, pochi studi hanno condotto esperimenti estesi per rivelare l'efficacia dei GIA e i fattori limitanti associati in questo contesto. Per colmare questa lacuna, abbiamo intrapreso una revisione sistematica dei GIA, classificando i metodi esistenti in tre tipologie: GIA basati su ottimizzazione (OP-GIA), GIA basati su generazione (GEN-GIA) e GIA basati su analisi (ANA-GIA). Successivamente, abbiamo analizzato e valutato in modo completo le tre tipologie di GIA nel FL, fornendo approfondimenti sui fattori che influenzano le loro prestazioni, praticità e potenziali minacce. I nostri risultati indicano che l'OP-GIA è l'impostazione di attacco più pratica nonostante le sue prestazioni insoddisfacenti, mentre il GEN-GIA presenta molte dipendenze e l'ANA-GIA è facilmente rilevabile, rendendoli entrambi poco pratici. Infine, proponiamo una pipeline di difesa in tre fasi per gli utenti nella progettazione di framework e protocolli FL, al fine di garantire una migliore protezione della privacy, e condividiamo alcune direzioni di ricerca future che riteniamo debbano essere perseguite, sia dal punto di vista degli attaccanti che dei difensori. Speriamo che il nostro studio possa aiutare i ricercatori a progettare framework FL più robusti per difendersi da questi attacchi.
English
Federated Learning (FL) has emerged as a promising privacy-preserving
collaborative model training paradigm without sharing raw data. However, recent
studies have revealed that private information can still be leaked through
shared gradient information and attacked by Gradient Inversion Attacks (GIA).
While many GIA methods have been proposed, a detailed analysis, evaluation, and
summary of these methods are still lacking. Although various survey papers
summarize existing privacy attacks in FL, few studies have conducted extensive
experiments to unveil the effectiveness of GIA and their associated limiting
factors in this context. To fill this gap, we first undertake a systematic
review of GIA and categorize existing methods into three types, i.e.,
optimization-based GIA (OP-GIA), generation-based GIA
(GEN-GIA), and analytics-based GIA (ANA-GIA). Then, we comprehensively
analyze and evaluate the three types of GIA in FL, providing insights into the
factors that influence their performance, practicality, and potential threats.
Our findings indicate that OP-GIA is the most practical attack setting despite
its unsatisfactory performance, while GEN-GIA has many dependencies and ANA-GIA
is easily detectable, making them both impractical. Finally, we offer a
three-stage defense pipeline to users when designing FL frameworks and
protocols for better privacy protection and share some future research
directions from the perspectives of attackers and defenders that we believe
should be pursued. We hope that our study can help researchers design more
robust FL frameworks to defend against these attacks.