Исследование уязвимостей федеративного обучения: глубокий анализ атак с инверсией градиентов
Exploring the Vulnerabilities of Federated Learning: A Deep Dive into Gradient Inversion Attacks
March 13, 2025
Авторы: Pengxin Guo, Runxi Wang, Shuang Zeng, Jinjing Zhu, Haoning Jiang, Yanran Wang, Yuyin Zhou, Feifei Wang, Hui Xiong, Liangqiong Qu
cs.AI
Аннотация
Федеративное обучение (FL) стало перспективной парадигмой совместного обучения моделей с сохранением конфиденциальности, не требующей обмена исходными данными. Однако недавние исследования показали, что приватная информация всё же может быть раскрыта через передаваемую информацию о градиентах и подвергнута атакам с использованием инверсии градиентов (Gradient Inversion Attacks, GIA). Хотя было предложено множество методов GIA, детальный анализ, оценка и обобщение этих методов до сих пор отсутствуют. Несмотря на то, что в различных обзорных статьях суммируются существующие атаки на приватность в FL, лишь немногие исследования провели масштабные эксперименты, чтобы раскрыть эффективность GIA и связанные с ними ограничивающие факторы в данном контексте. Чтобы заполнить этот пробел, мы сначала проводим систематический обзор GIA и классифицируем существующие методы на три типа: оптимизационные GIA (OP-GIA), генеративные GIA (GEN-GIA) и аналитические GIA (ANA-GIA). Затем мы всесторонне анализируем и оцениваем эти три типа GIA в FL, предоставляя понимание факторов, влияющих на их производительность, практичность и потенциальные угрозы. Наши результаты показывают, что OP-GIA является наиболее практичной настройкой атаки, несмотря на её неудовлетворительную производительность, в то время как GEN-GIA имеет множество зависимостей, а ANA-GIA легко обнаруживается, что делает их оба непрактичными. Наконец, мы предлагаем пользователям трёхэтапный конвейер защиты при проектировании FL-фреймворков и протоколов для лучшей защиты конфиденциальности, а также делимся некоторыми направлениями будущих исследований с точки зрения атакующих и защищающихся, которые, по нашему мнению, следует развивать. Мы надеемся, что наше исследование поможет разработчикам создавать более устойчивые FL-фреймворки для защиты от подобных атак.
English
Federated Learning (FL) has emerged as a promising privacy-preserving
collaborative model training paradigm without sharing raw data. However, recent
studies have revealed that private information can still be leaked through
shared gradient information and attacked by Gradient Inversion Attacks (GIA).
While many GIA methods have been proposed, a detailed analysis, evaluation, and
summary of these methods are still lacking. Although various survey papers
summarize existing privacy attacks in FL, few studies have conducted extensive
experiments to unveil the effectiveness of GIA and their associated limiting
factors in this context. To fill this gap, we first undertake a systematic
review of GIA and categorize existing methods into three types, i.e.,
optimization-based GIA (OP-GIA), generation-based GIA
(GEN-GIA), and analytics-based GIA (ANA-GIA). Then, we comprehensively
analyze and evaluate the three types of GIA in FL, providing insights into the
factors that influence their performance, practicality, and potential threats.
Our findings indicate that OP-GIA is the most practical attack setting despite
its unsatisfactory performance, while GEN-GIA has many dependencies and ANA-GIA
is easily detectable, making them both impractical. Finally, we offer a
three-stage defense pipeline to users when designing FL frameworks and
protocols for better privacy protection and share some future research
directions from the perspectives of attackers and defenders that we believe
should be pursued. We hope that our study can help researchers design more
robust FL frameworks to defend against these attacks.Summary
AI-Generated Summary