| 论文名字 |
GRNN: Generative Regression Neural Network - A Data Leakage Attack for Federated Learning |
| 来源 |
未发布 |
| 年份 |
2021.5.2 |
| 作者 |
Hanchi Ren, Jingjing Deng, Xianghua Xie |
| 核心点 |
利用梯度信息对联邦学习中的客户端原始数据进行攻击,反推出原始数据。 |
| 阅读日期 |
2021.5.14 |
| 影响因子 |
|
| 页数 |
17 |
| 引用数 |
|
| 引用 |
|
| 内容总结 | |
| 文章主要解决的问题及解决方案: 在联邦学习中,可以从共享的梯度中恢复客户端的原始数据(敏感信息)。文中给出的是一种基于对抗生成网络(GAN)的方法达到上述目的。(一种攻击方法)
文章相比之前的工作创新之处: 1、相较于DLG精度有所提升(但因为是用GAN网络,攻击速度就比较慢) 2、指出DLG中利用的梯度仅是最后一层网络的梯度。(但文中方法不确定是不是用全部的梯度) 3、提出新的loss function用于模型训练。(我认为这是其相较于DLG精度上有提升的主要原因)
文章的主要工作: 1、提出一种基于GAN网络的攻击模型,用于反推联邦学习中客户端的原始数据(文中主要是对图像数据进行实验),该方法的主要思想是建立GAN网络生成随机数据,最小化真实梯度和虚拟梯度,从而完成原始数据的推断。(主要思想与DLG一样,创新点在于其loss function的定义)。 2、loss function的定义: 其中,WD(Wasserstein Distance) loss是用于度量两个梯度向量的距离(欧式距离),MSE是均方差,TV(total variation) loss是对生成的虚拟图像(假图像)数据施加的平滑度约束(是一个平滑正则项)。 3、GRNN模型特点:①对需要攻击的模型的收敛性没有要求,即可以直接用第一个epoch训练后的梯度进行攻击。②需要对激活函数做一定修改,因为需要“反向训练”,即利用梯度对虚拟输入求偏导,所以激活函数需要是二阶可微的函数,文中将ReLU改为sigmoid函数。 4、文中给出度量指标:①MSE;②PSNR(峰值信噪比);③inference accuracy或Re-identification Accuracy(推断准确性)(与 Top-1、Top-5有关)。 其中,(我觉得255是图像像素相关)。另外,但未找到inference accuracy的定义(我的猜测是利用模型预测值是否与label一致进行判断,用上Top-1、Top-5等,选前k的最好的概率进行比较)。 5、实验细节:数据集:MNIST、CIFAR-100、LFW;模型:LeNet、ResNet-18。
文章内容:
实验结果:
附录:
参考文献:
| |