BlindSage: Una Minaccia per l'Apprendimento Federato Verticale
Nuovo metodo svela vulnerabilità nei sistemi di Federated Learning Verticale usando Graph Neural Networks.
― 5 leggere min
Indice
Negli ultimi anni, l'apprendimento federato è diventato un approccio importante per addestrare modelli di machine learning mantenendo i dati privati. Questo metodo permette a più parti di lavorare insieme per costruire modelli senza condividere i loro dati grezzi. Nell'apprendimento federato, ci sono diversi tipi di configurazioni. Una delle più rilevanti è l'Apprendimento Federato Verticale (VFL), dove più parti condividono campioni di dati ma hanno caratteristiche diverse per quei campioni.
Anche se l'apprendimento federato migliora la privacy e la sicurezza, non è privo di vulnerabilità. Una grande preoccupazione è che gli attaccanti possano dedurre informazioni sensibili dai gradienti condivisi tra i client e il server. Questo documento esplora questo problema e propone un nuovo metodo per dedurre etichette nell'impostazione VFL, utilizzando specificamente Reti Neurali Grafiche (GNN) per compiti come la classificazione dei nodi.
Contesto
Panoramica dell'Apprendimento Federato
L'apprendimento federato permette ai client di addestrare un modello collaborativamente senza condividere i loro dataset privati. Il server centrale raccoglie aggiornamenti del modello da ciascun client per costruire un modello globale. Questo processo di solito coinvolge tre fasi:
- Download del Modello Globale: I client scaricano il modello globale dal server.
- Addestramento Locale: Ogni client aggiorna il modello globale addestrandolo con i propri dati locali.
- Aggregazione: I client inviano i loro pesi del modello aggiornati al server, che poi aggrega questi aggiornamenti per migliorare il modello globale.
Questo approccio aiuta a mantenere la privacy dei dati perché i dati grezzi non lasciano mai il dispositivo del client.
Apprendimento Federato Verticale
VFL è un tipo specifico di apprendimento federato dove ogni client ha accesso agli stessi punti dati ma a caratteristiche diverse. Per esempio, in uno scenario sanitario, un ospedale potrebbe avere informazioni demografiche sui pazienti mentre un altro ha la storia medica. Nel VFL, le etichette sensibili sono spesso mantenute private da una parte mentre le altre usano le loro caratteristiche per l'addestramento.
Il VFL può essere più complicato dell'apprendimento federato tradizionale perché può portare a potenziali rischi per la sicurezza. Gli attaccanti potrebbero sfruttare i gradienti condivisi per dedurre informazioni sensibili, come le etichette di classificazione, dal client che le controlla.
Reti Neurali Grafiche
Le GNN sono reti neurali progettate per lavorare con dati grafici. Eccellono in compiti che coinvolgono dati relazionali, come reti sociali o strutture molecolari. Le GNN aggregano informazioni dai nodi vicini per aggiornare le proprie rappresentazioni nodali, rendendole ideali per compiti come la classificazione dei nodi.
Dichiarazione del Problema
Nonostante i progressi nell'apprendimento federato, è emerso che il VFL ha vulnerabilità che possono essere sfruttate. Studi recenti mostrano che gli attacchi di deduzione delle etichette possono estrarre informazioni sensibili da client passivi. Tali attacchi si basano tipicamente su conoscenze di base sulle etichette per essere efficaci. Questa ricerca propone un nuovo metodo chiamato BlindSage che esegue attacchi di deduzione delle etichette senza richiedere alcuna conoscenza precedente delle etichette.
L'Attacco BlindSage
L'attacco BlindSage è un metodo sofisticato che mira a dedurre etichette sensibili in un'impostazione VFL, mirato specificamente alle GNN. La caratteristica principale di questo attacco è che opera sotto l'assunzione del peggior caso, il che significa che l'attaccante non ha alcuna conoscenza di base sulle etichette o sull'architettura del modello.
Metodologia dell'Attacco
L'attacco coinvolge diversi passaggi:
- Raccolta dei Gradienti: L'attaccante raccoglie i gradienti inviati dal server durante il processo di addestramento.
- Approssimazione del Modello: L'attaccante crea una versione approssimativa del modello del server.
- Generazione di Gradienti Avversariali: L'attaccante genera gradienti avversariali utilizzando le embedding locali ricevute dal server.
- Calcolo della Perdita di Abbinamento: L'attaccante confronta i gradienti generati con i veri gradienti del server per approssimare le etichette.
Questo processo consente all'attaccante di stimare le etichette senza dover conoscere il modello effettivamente utilizzato dal server.
Valutazione dell'Attacco BlindSage
L'efficacia dell'attacco BlindSage è stata valutata utilizzando vari dataset e architetture GNN. I risultati indicano che BlindSage può raggiungere un'alta accuratezza nella deduzione delle etichette anche quando l'attaccante ha informazioni limitate o nessuna sul modello o sui dati.
Configurazione dell'Esperimento
Per misurare l'efficacia dell'attacco BlindSage, sono stati condotti diversi esperimenti utilizzando dataset noti come Cora, Citeseer e Pubmed. Sono state impiegate anche diverse architetture GNN come Reti Neurali Convoluzionali Grafiche (GCN) e Reti di Attenzione Grafiche (GAT).
Risultati
- Alta Accuratezza: L'attacco BlindSage ha dimostrato un'accuratezza quasi perfetta in molti scenari. Anche quando l'attaccante non aveva conoscenze precedenti, l'accuratezza è rimasta sopra una certa soglia.
- Robustezza: L'attacco ha mantenuto le prestazioni attraverso più dataset e in condizioni variabili, mostrando il suo potenziale come minaccia significativa per la privacy dei sistemi VFL.
Strategie di Mitigazione
Date le vulnerabilità esposte dall'attacco BlindSage, è cruciale esplorare strategie di mitigazione. Ecco alcuni metodi che potrebbero essere impiegati per proteggere contro tali attacchi:
- Privacy Differenziale: Questa tecnica prevede l'aggiunta di rumore ai gradienti condivisi tra client e server, mirando a offuscare informazioni sensibili.
- Compressione dei Gradienti: Condividendo solo i gradienti più significativi con i client, il server può ridurre la quantità di informazioni disponibili per potenziali attaccanti.
- Complessità del Modello: Utilizzare architetture di modelli più complesse potrebbe rendere più difficile per gli attaccanti creare approssimazioni accurate.
Nonostante queste strategie, i risultati preliminari mostrano che spesso compromettono le prestazioni complessive del sistema VFL. Pertanto, è necessaria ulteriore ricerca per sviluppare difese efficaci senza sacrificare l'accuratezza.
Conclusione
L'attacco BlindSage evidenzia vulnerabilità significative nei sistemi di Apprendimento Federato Verticale, in particolare quelli che utilizzano Reti Neurali Grafiche. Dimostrando un metodo per dedurre etichette sensibili senza alcuna conoscenza precedente, questa ricerca apre discussioni sulla necessità di misure di sicurezza migliorate negli assetti di apprendimento federato. Il lavoro futuro si concentrerà sul migliorare la metodologia dell'attacco e sull'esplorazione di potenziali difese per proteggere da tali perdite di informazioni.
Titolo: Label Inference Attacks against Node-level Vertical Federated GNNs
Estratto: Federated learning enables collaborative training of machine learning models by keeping the raw data of the involved workers private. Three of its main objectives are to improve the models' privacy, security, and scalability. Vertical Federated Learning (VFL) offers an efficient cross-silo setting where a few parties collaboratively train a model without sharing the same features. In such a scenario, classification labels are commonly considered sensitive information held exclusively by one (active) party, while other (passive) parties use only their local information. Recent works have uncovered important flaws of VFL, leading to possible label inference attacks under the assumption that the attacker has some, even limited, background knowledge on the relation between labels and data. In this work, we are the first (to the best of our knowledge) to investigate label inference attacks on VFL using a zero-background knowledge strategy. To formulate our proposal, we focus on Graph Neural Networks (GNNs) as a target model for the underlying VFL. In particular, we refer to node classification tasks, which are widely studied, and GNNs have shown promising results. Our proposed attack, BlindSage, provides impressive results in the experiments, achieving nearly 100% accuracy in most cases. Even when the attacker has no information about the used architecture or the number of classes, the accuracy remains above 90% in most instances. Finally, we observe that well-known defenses cannot mitigate our attack without affecting the model's performance on the main classification task.
Autori: Marco Arazzi, Mauro Conti, Stefanos Koffas, Marina Krcek, Antonino Nocera, Stjepan Picek, Jing Xu
Ultimo aggiornamento: 2024-04-18 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2308.02465
Fonte PDF: https://arxiv.org/pdf/2308.02465
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.