Simple Science

Hochmoderne Wissenschaft einfach erklärt

# Computerwissenschaften# Maschinelles Lernen# Kryptographie und Sicherheit

BlindSage: Eine Bedrohung für vertikales föderiertes Lernen

Neue Methode zeigt Schwachstellen in vertikalen föderierten Lernsystemen mit Graph-Neuronalen Netzwerken auf.

― 5 min Lesedauer

BlindSage: VFL SchwächenBlindSage: VFL Schwächenaufdeckenföderierten Lernsystemen.Neuer Angriff zeigt ernste Schwächen in
Inhaltsverzeichnis

In den letzten Jahren ist das föderierte Lernen zu einem wichtigen Ansatz geworden, um Machine-Learning-Modelle zu trainieren und dabei die Daten privat zu halten. Diese Methode ermöglicht es mehreren Parteien, zusammenzuarbeiten, um Modelle zu erstellen, ohne ihre Rohdaten zu teilen. Im föderierten Lernen gibt es verschiedene Arten von Setups. Eine der relevantesten ist das Vertikale föderierte Lernen (VFL), bei dem mehrere Parteien Datensamples teilen, aber unterschiedliche Merkmale für diese Samples haben.

Während das föderierte Lernen die Privatsphäre und Sicherheit verbessert, ist es nicht ohne Schwachstellen. Eine grosse Sorge ist, dass Angreifer sensible Informationen aus den geteilten Gradienten zwischen Clients und dem Server ableiten können. Dieses Papier beschäftigt sich mit diesem Problem und schlägt eine neue Methode zur Ableitung von Labels im VFL-Setup vor, insbesondere mit Graph Neural Networks (GNNs) für Aufgaben wie die Knotenklassifikation.

Hintergrund

Überblick über Föderiertes Lernen

Föderiertes Lernen ermöglicht es den Clients, ein Modell gemeinsam zu trainieren, ohne ihre privaten Datensätze zu teilen. Der zentrale Server sammelt Modellaktualisierungen von jedem Client, um ein globales Modell aufzubauen. Dieser Prozess umfasst typischerweise drei Schritte:

  1. Globales Modell herunterladen: Die Clients laden das globale Modell vom Server herunter.
  2. Lokales Training: Jeder Client aktualisiert das globale Modell, indem er es mit seinen lokalen Daten trainiert.
  3. Aggregation: Die Clients senden ihre aktualisierten Modellgewichte zurück an den Server, der diese Updates dann aggregiert, um das globale Modell zu verbessern.

Dieser Ansatz hilft, die Datensicherheit zu wahren, da die Rohdaten niemals das Gerät des Clients verlassen.

Vertikales Föderiertes Lernen

VFL ist eine spezielle Art des föderierten Lernens, bei dem jeder Client auf die gleichen Datenpunkte, aber unterschiedliche Merkmale zugreift. Zum Beispiel könnte in einem Gesundheitskontext ein Krankenhaus Patientendemografien haben, während ein anderes die medizinische Vorgeschichte hat. Im VFL werden sensible Labels oft von einer Partei privat gehalten, während andere ihre Merkmale für das Training nutzen.

VFL kann komplizierter sein als traditionelles föderiertes Lernen, da es potenzielle Sicherheitsrisiken birgt. Angreifer könnten die geteilten Gradienten ausnutzen, um sensible Informationen wie Klassifikationslabels von dem Client, der sie kontrolliert, abzuleiten.

Graph Neural Networks

GNNs sind neuronale Netze, die dafür entwickelt wurden, mit Graphdaten zu arbeiten. Sie sind gut in Aufgaben, die relationale Daten betreffen, wie soziale Netzwerke oder molekulare Strukturen. GNNs aggregieren Informationen von benachbarten Knoten, um ihre eigenen Knotenrepräsentationen zu aktualisieren, was sie ideal für Aufgaben wie die Knotenklassifikation macht.

Problembeschreibung

Trotz der Fortschritte im föderierten Lernen wurde festgestellt, dass VFL Schwachstellen hat, die ausgenutzt werden können. Jüngste Studien zeigen, dass Label-Ableitung-Angriffe sensible Informationen von passiven Clients extrahieren können. Solche Angriffe beruhen typischerweise auf Hintergrundwissen über die Labels, um effektiv zu sein. Diese Forschung schlägt eine neue Methode namens BlindSage vor, die Label-Ableitung-Angriffe durchführt, ohne vorheriges Wissen über die Labels zu benötigen.

Der BlindSage-Angriff

Der BlindSage-Angriff ist eine ausgeklügelte Methode, die darauf abzielt, sensible Labels in einem VFL-Setup abzuleiten, insbesondere mit dem Fokus auf GNNs. Das Hauptmerkmal dieses Angriffs ist, dass er unter der Worst-Case-Annahme operiert, was bedeutet, dass der Angreifer kein Hintergrundwissen über die Labels oder die Architektur des Modells hat.

Angriffs-Methodologie

Der Angriff umfasst mehrere Schritte:

  1. Gradientensammlung: Der Angreifer sammelt Gradienten, die während des Trainingsprozesses vom Server gesendet werden.
  2. Modell-Applikation: Der Angreifer erstellt eine angenäherte Version des Modells des Servers.
  3. Generierung von adversarialen Gradienten: Der Angreifer generiert adversariale Gradienten unter Verwendung der lokalen Embeddings, die vom Server erhalten wurden.
  4. Berechnung des Matching-Verlusts: Der Angreifer vergleicht seine generierten Gradienten mit den echten Gradienten vom Server, um die Labels abzuleiten.

Dieser Prozess ermöglicht es dem Angreifer, die Labels abzuschätzen, ohne das tatsächliche Modell zu kennen, das vom Server verwendet wird.

Evaluation des BlindSage-Angriffs

Die Effektivität des BlindSage-Angriffs wurde mit verschiedenen Datensätzen und GNN-Architekturen bewertet. Die Ergebnisse zeigen, dass BlindSage hohe Genauigkeit bei der Ableitung von Labels erreichen kann, selbst wenn der Angreifer begrenzte oder keine Informationen über das Modell oder die Daten hat.

Experimentelle Einrichtung

Um die Effektivität des BlindSage-Angriffs zu messen, wurden mehrere Experimente mit bekannten Datensätzen wie Cora, Citeseer und Pubmed durchgeführt. Unterschiedliche GNN-Architekturen wie Graph Convolutional Networks (GCNs) und Graph Attention Networks (GATs) wurden ebenfalls verwendet.

Ergebnisse

  1. Hohe Genauigkeit: Der BlindSage-Angriff zeigte in vielen Szenarien fast perfekte Genauigkeit. Selbst wenn der Angreifer kein Vorwissen hatte, blieb die Genauigkeit über einem bestimmten Schwellenwert.
  2. Robustheit: Der Angriff hielt die Leistung über mehrere Datensätze und unter unterschiedlichen Bedingungen aufrecht, was sein Potenzial als erhebliche Bedrohung für die Privatsphäre von VFL-Systemen zeigt.

Milderungsstrategien

Angesichts der durch den BlindSage-Angriff offenbarten Schwächen ist es wichtig, Milde-Strategien zu erforschen. Hier sind einige mögliche Methoden, die eingesetzt werden könnten, um sich gegen solche Angriffe zu schützen:

  1. Differential Privacy: Diese Technik beinhaltet das Hinzufügen von Rauschen zu den Gradienten, die zwischen Clients und dem Server geteilt werden, um sensible Informationen zu verschleiern.
  2. Gradientenkompression: Indem nur die wichtigsten Gradienten mit den Clients geteilt werden, kann der Server die Menge an Informationen reduzieren, die potenziellen Angreifern zur Verfügung steht.
  3. Modellkomplexität: Die Nutzung komplexerer Modellarchitekturen könnte es Angreifern erschweren, genaue Annäherungen zu erstellen.

Trotz dieser Strategien zeigen vorläufige Ergebnisse, dass sie oft die Gesamtleistung des VFL-Systems beeinträchtigen. Daher ist weitere Forschung nötig, um effektive Abwehrmechanismen zu entwickeln, ohne die Genauigkeit zu opfern.

Fazit

Der BlindSage-Angriff hebt erhebliche Schwachstellen in vertikalen föderierten Lernsystemen hervor, insbesondere bei denen, die Graph Neural Networks nutzen. Indem er eine Methode zur Ableitung sensibler Labels ohne Vorwissen demonstriert, eröffnet diese Forschung Diskussionen über die Notwendigkeit verbesserter Sicherheitsmassnahmen in föderierten Lern-Setups. Zukünftige Arbeiten werden sich darauf konzentrieren, die Angriffsmethodologie zu verbessern und mögliche Verteidigungen zu erforschen, um sich gegen solche Informationslecks zu schützen.

Originalquelle

Titel: Label Inference Attacks against Node-level Vertical Federated GNNs

Zusammenfassung: Federated learning enables collaborative training of machine learning models by keeping the raw data of the involved workers private. Three of its main objectives are to improve the models' privacy, security, and scalability. Vertical Federated Learning (VFL) offers an efficient cross-silo setting where a few parties collaboratively train a model without sharing the same features. In such a scenario, classification labels are commonly considered sensitive information held exclusively by one (active) party, while other (passive) parties use only their local information. Recent works have uncovered important flaws of VFL, leading to possible label inference attacks under the assumption that the attacker has some, even limited, background knowledge on the relation between labels and data. In this work, we are the first (to the best of our knowledge) to investigate label inference attacks on VFL using a zero-background knowledge strategy. To formulate our proposal, we focus on Graph Neural Networks (GNNs) as a target model for the underlying VFL. In particular, we refer to node classification tasks, which are widely studied, and GNNs have shown promising results. Our proposed attack, BlindSage, provides impressive results in the experiments, achieving nearly 100% accuracy in most cases. Even when the attacker has no information about the used architecture or the number of classes, the accuracy remains above 90% in most instances. Finally, we observe that well-known defenses cannot mitigate our attack without affecting the model's performance on the main classification task.

Autoren: Marco Arazzi, Mauro Conti, Stefanos Koffas, Marina Krcek, Antonino Nocera, Stjepan Picek, Jing Xu

Letzte Aktualisierung: 2024-04-18 00:00:00

Sprache: English

Quell-URL: https://arxiv.org/abs/2308.02465

Quell-PDF: https://arxiv.org/pdf/2308.02465

Lizenz: https://creativecommons.org/licenses/by/4.0/

Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.

Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.

Referenz Links
Referenzierte Themen

Mehr von den Autoren

Ähnliche Artikel