Simple Science

Ciência de ponta explicada de forma simples

# Informática# Aprendizagem de máquinas# Criptografia e segurança

BlindSage: Uma Ameaça para o Aprendizado Federado Vertical

Novo método revela vulnerabilidades em sistemas de Aprendizado Federado Vertical usando Redes Neurais em Grafos.

― 6 min ler

BlindSage: Revelando asBlindSage: Revelando asfraquezas do VFLsistemas de aprendizado federado.Novo ataque revela falhas sérias em
Índice

Nos últimos anos, o aprendizado federado se tornou uma abordagem importante para treinar modelos de aprendizado de máquina mantendo os dados privados. Esse método permite que várias partes trabalhem juntas para construir modelos sem compartilhar seus dados brutos. No aprendizado federado, existem diferentes tipos de configurações. Uma das mais relevantes é o Aprendizado Federado Vertical (VFL), onde várias partes compartilham amostras de dados, mas têm diferentes características para essas amostras.

Enquanto o aprendizado federado melhora a privacidade e a segurança, não é isento de vulnerabilidades. Uma grande preocupação é que atacantes podem inferir informações sensíveis a partir dos gradientes compartilhados entre clientes e o servidor. Este artigo investiga esse problema e propõe um novo método para inferir rótulos na configuração VFL, especificamente usando Redes Neurais Gráficas (GNNs) para tarefas como classificação de nós.

Contexto

Visão Geral do Aprendizado Federado

O aprendizado federado permite que clientes treinem um modelo de forma colaborativa sem compartilhar seus conjuntos de dados privados. O servidor central coleta atualizações de modelos de cada cliente para construir um modelo global. Esse processo geralmente envolve três etapas:

  1. Download do Modelo Global: Os clientes baixam o modelo global do servidor.
  2. Treinamento Local: Cada cliente atualiza o modelo global treinando-o com seus dados locais.
  3. Agregação: Os clientes enviam seus pesos de modelo atualizados de volta ao servidor, que então agrega essas atualizações para melhorar o modelo global.

Essa abordagem ajuda a manter a privacidade dos dados porque os dados brutos nunca saem do dispositivo do cliente.

Aprendizado Federado Vertical

VFL é um tipo específico de aprendizado federado onde cada cliente tem acesso aos mesmos pontos de dados, mas características diferentes. Por exemplo, em um cenário de saúde, um hospital pode ter dados demográficos dos pacientes, enquanto outro tem histórico médico. No VFL, rótulos sensíveis são frequentemente mantidos em sigilo por uma parte, enquanto outras usam suas características para treinamento.

O VFL pode ser mais complicado que o aprendizado federado tradicional porque pode levar a potenciais riscos de segurança. Atacantes podem explorar gradientes compartilhados para inferir informações sensíveis, como rótulos de classificação, do cliente que os controla.

Redes Neurais Gráficas

GNNs são redes neurais projetadas para trabalhar com dados de grafo. Elas são ótimas em tarefas que envolvem dados relacionais, como redes sociais ou estruturas moleculares. GNNs agregam informações de nós vizinhos para atualizar suas próprias representações de nós, tornando-as ideais para tarefas como classificação de nós.

Declaração do Problema

Apesar dos avanços no aprendizado federado, foram reveladas vulnerabilidades que podem ser exploradas no VFL. Estudos recentes mostram que Ataques de Inferência de Rótulos podem extrair informações sensíveis de clientes passivos. Esses ataques geralmente dependem de conhecimento prévio sobre os rótulos para serem eficazes. Esta pesquisa propõe um novo método chamado BlindSage que realiza ataques de inferência de rótulos sem precisar de nenhum conhecimento prévio sobre os rótulos.

O Ataque BlindSage

O ataque BlindSage é um método sofisticado que visa inferir rótulos sensíveis em uma configuração VFL, focando especificamente em GNNs. A principal característica desse ataque é que ele opera sob a suposição do pior cenário, ou seja, o atacante não tem conhecimento prévio sobre os rótulos ou a arquitetura do modelo.

Metodologia do Ataque

O ataque envolve várias etapas:

  1. Coleta de Gradientes: O atacante coleta gradientes enviados pelo servidor durante o processo de treinamento.
  2. Aproximação do Modelo: O atacante cria uma versão aproximada do modelo do servidor.
  3. Geração de Gradientes Adversariais: O atacante gera gradientes adversariais usando as incorporações locais recebidas do servidor.
  4. Cálculo da Perda de Correspondência: O atacante compara seus gradientes gerados com os gradientes reais do servidor para aproximar os rótulos.

Esse processo permite que o atacante estime os rótulos sem precisar saber qual modelo real está sendo usado pelo servidor.

Avaliação do Ataque BlindSage

A eficácia do ataque BlindSage foi avaliada usando vários conjuntos de dados e arquiteturas de GNN. Os resultados indicam que o BlindSage consegue alcançar alta precisão na inferência de rótulos mesmo quando o atacante tem informações limitadas ou nenhuma sobre o modelo ou os dados.

Configuração do Experimento

Para medir a eficácia do ataque BlindSage, vários experimentos foram realizados usando conjuntos de dados conhecidos como Cora, Citeseer e Pubmed. Diferentes arquiteturas de GNN, como Redes Neurais Convolucionais Gráficas (GCNs) e Redes de Atenção Gráficas (GATs), também foram utilizadas.

Resultados

  1. Alta Precisão: O ataque BlindSage demonstrou precisão quase perfeita em muitos cenários. Mesmo quando o atacante não tinha conhecimento prévio, a precisão permaneceu acima de um certo limite.
  2. Robustez: O ataque manteve desempenho em vários conjuntos de dados e sob diferentes condições, mostrando seu potencial como uma grande ameaça à privacidade dos sistemas VFL.

Estratégias de Mitigação

Dadas as vulnerabilidades expostas pelo ataque BlindSage, é crucial explorar estratégias de mitigação. Aqui estão alguns métodos possíveis que poderiam ser empregados para proteger contra tais ataques:

  1. Privacidade Diferencial: Essa técnica envolve adicionar ruído aos gradientes compartilhados entre clientes e o servidor, visando ofuscar informações sensíveis.
  2. Compressão de Gradientes: Ao compartilhar apenas os gradientes mais significativos com os clientes, o servidor pode reduzir a quantidade de informação disponível para potenciais atacantes.
  3. Complexidade do Modelo: Utilizar arquiteturas de modelo mais complexas pode dificultar para os atacantes criarem aproximações precisas.

Apesar dessas estratégias, resultados preliminares mostram que frequentemente comprometem o desempenho geral do sistema VFL. Portanto, mais pesquisas são necessárias para desenvolver defesas eficazes sem sacrificar a precisão.

Conclusão

O ataque BlindSage destaca vulnerabilidades significativas nos sistemas de Aprendizado Federado Vertical, especialmente aqueles que utilizam Redes Neurais Gráficas. Ao demonstrar um método para inferir rótulos sensíveis sem conhecimento prévio, esta pesquisa abre discussões sobre a necessidade de medidas de segurança melhoradas em configurações de aprendizado federado. Trabalhos futuros se concentrarão em aprimorar a metodologia do ataque e explorar defesas potenciais para proteger contra esse tipo de vazamento de informação.

Fonte original

Título: Label Inference Attacks against Node-level Vertical Federated GNNs

Resumo: Federated learning enables collaborative training of machine learning models by keeping the raw data of the involved workers private. Three of its main objectives are to improve the models' privacy, security, and scalability. Vertical Federated Learning (VFL) offers an efficient cross-silo setting where a few parties collaboratively train a model without sharing the same features. In such a scenario, classification labels are commonly considered sensitive information held exclusively by one (active) party, while other (passive) parties use only their local information. Recent works have uncovered important flaws of VFL, leading to possible label inference attacks under the assumption that the attacker has some, even limited, background knowledge on the relation between labels and data. In this work, we are the first (to the best of our knowledge) to investigate label inference attacks on VFL using a zero-background knowledge strategy. To formulate our proposal, we focus on Graph Neural Networks (GNNs) as a target model for the underlying VFL. In particular, we refer to node classification tasks, which are widely studied, and GNNs have shown promising results. Our proposed attack, BlindSage, provides impressive results in the experiments, achieving nearly 100% accuracy in most cases. Even when the attacker has no information about the used architecture or the number of classes, the accuracy remains above 90% in most instances. Finally, we observe that well-known defenses cannot mitigate our attack without affecting the model's performance on the main classification task.

Autores: Marco Arazzi, Mauro Conti, Stefanos Koffas, Marina Krcek, Antonino Nocera, Stjepan Picek, Jing Xu

Última atualização: 2024-04-18 00:00:00

Idioma: English

Fonte URL: https://arxiv.org/abs/2308.02465

Fonte PDF: https://arxiv.org/pdf/2308.02465

Licença: https://creativecommons.org/licenses/by/4.0/

Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.

Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.

Ligações de referência
Tópicos referenciados

Mais de autores

Artigos semelhantes