Explorando as Vulnerabilidades do Aprendizado Federado: Uma Análise Profunda dos Ataques de Inversão de Gradiente
Exploring the Vulnerabilities of Federated Learning: A Deep Dive into Gradient Inversion Attacks
March 13, 2025
Autores: Pengxin Guo, Runxi Wang, Shuang Zeng, Jinjing Zhu, Haoning Jiang, Yanran Wang, Yuyin Zhou, Feifei Wang, Hui Xiong, Liangqiong Qu
cs.AI
Resumo
O Aprendizado Federado (FL) surgiu como um paradigma promissor de treinamento colaborativo de modelos que preserva a privacidade sem compartilhar dados brutos. No entanto, estudos recentes revelaram que informações privadas ainda podem ser vazadas por meio de informações de gradientes compartilhadas e atacadas por Ataques de Inversão de Gradiente (GIA). Embora muitos métodos de GIA tenham sido propostos, ainda faltam uma análise detalhada, avaliação e resumo desses métodos. Embora vários artigos de revisão resumam os ataques de privacidade existentes no FL, poucos estudos realizaram experimentos extensos para revelar a eficácia do GIA e seus fatores limitantes associados nesse contexto. Para preencher essa lacuna, primeiro realizamos uma revisão sistemática do GIA e categorizamos os métodos existentes em três tipos, ou seja, GIA baseado em otimização (OP-GIA), GIA baseado em geração (GEN-GIA) e GIA baseado em análise (ANA-GIA). Em seguida, analisamos e avaliamos de forma abrangente os três tipos de GIA no FL, fornecendo insights sobre os fatores que influenciam seu desempenho, praticidade e potenciais ameaças. Nossas descobertas indicam que o OP-GIA é o cenário de ataque mais prático, apesar de seu desempenho insatisfatório, enquanto o GEN-GIA tem muitas dependências e o ANA-GIA é facilmente detectável, tornando ambos impraticáveis. Por fim, oferecemos um pipeline de defesa em três estágios para os usuários ao projetar frameworks e protocolos de FL para uma melhor proteção de privacidade e compartilhamos algumas direções futuras de pesquisa a partir das perspectivas de atacantes e defensores que acreditamos que devem ser perseguidas. Esperamos que nosso estudo possa ajudar os pesquisadores a projetar frameworks de FL mais robustos para se defender contra esses ataques.
English
Federated Learning (FL) has emerged as a promising privacy-preserving
collaborative model training paradigm without sharing raw data. However, recent
studies have revealed that private information can still be leaked through
shared gradient information and attacked by Gradient Inversion Attacks (GIA).
While many GIA methods have been proposed, a detailed analysis, evaluation, and
summary of these methods are still lacking. Although various survey papers
summarize existing privacy attacks in FL, few studies have conducted extensive
experiments to unveil the effectiveness of GIA and their associated limiting
factors in this context. To fill this gap, we first undertake a systematic
review of GIA and categorize existing methods into three types, i.e.,
optimization-based GIA (OP-GIA), generation-based GIA
(GEN-GIA), and analytics-based GIA (ANA-GIA). Then, we comprehensively
analyze and evaluate the three types of GIA in FL, providing insights into the
factors that influence their performance, practicality, and potential threats.
Our findings indicate that OP-GIA is the most practical attack setting despite
its unsatisfactory performance, while GEN-GIA has many dependencies and ANA-GIA
is easily detectable, making them both impractical. Finally, we offer a
three-stage defense pipeline to users when designing FL frameworks and
protocols for better privacy protection and share some future research
directions from the perspectives of attackers and defenders that we believe
should be pursued. We hope that our study can help researchers design more
robust FL frameworks to defend against these attacks.Summary
AI-Generated Summary