论文笔记:GRNN: Generative Regression Neural Network - A Data Leakage Attack for Federated Learning

论文名字

GRNN: Generative Regression Neural Network - A Data Leakage Attack for Federated Learning

来源

未发布

年份

2021.5.2

作者

Hanchi Ren, Jingjing Deng, Xianghua Xie

核心点

利用梯度信息对联邦学习中的客户端原始数据进行攻击,反推出原始数据。

阅读日期

2021.5.14

影响因子

 

页数

17

引用数

 

引用

 

内容总结

文章主要解决的问题及解决方案:

在联邦学习中,可以从共享的梯度中恢复客户端的原始数据(敏感信息)。文中给出的是一种基于对抗生成网络(GAN)的方法达到上述目的。(一种攻击方法)

 

文章相比之前的工作创新之处:

1、相较于DLG精度有所提升(但因为是用GAN网络,攻击速度就比较慢)

2、指出DLG中利用的梯度仅是最后一层网络的梯度。(但文中方法不确定是不是用全部的梯度)

3、提出新的loss function用于模型训练。(我认为这是其相较于DLG精度上有提升的主要原因)

 

文章的主要工作:

1、提出一种基于GAN网络的攻击模型,用于反推联邦学习中客户端的原始数据(文中主要是对图像数据进行实验),该方法的主要思想是建立GAN网络生成随机数据,最小化真实梯度和虚拟梯度,从而完成原始数据的推断。(主要思想与DLG一样,创新点在于其loss function的定义)。

2、loss function的定义:

其中,WD(Wasserstein Distance) loss是用于度量两个梯度向量的距离(欧式距离),MSE是均方差,TV(total variation) loss是对生成的虚拟图像(假图像)数据施加的平滑度约束(是一个平滑正则项)。

3、GRNN模型特点:①对需要攻击的模型的收敛性没有要求,即可以直接用第一个epoch训练后的梯度进行攻击。②需要对激活函数做一定修改,因为需要“反向训练”,即利用梯度对虚拟输入求偏导,所以激活函数需要是二阶可微的函数,文中将ReLU改为sigmoid函数。

4、文中给出度量指标:①MSE;②PSNR(峰值信噪比);③inference accuracy或Re-identification Accuracy(推断准确性)(与 Top-1、Top-5有关)。

其中,(我觉得255是图像像素相关)。另外,但未找到inference accuracy的定义(我的猜测是利用模型预测值是否与label一致进行判断,用上Top-1、Top-5等,选前k的最好的概率进行比较)。

5、实验细节:数据集:MNIST、CIFAR-100、LFW;模型:LeNet、ResNet-18。

 

文章内容:

 

 

实验结果:

 

附录:

 

 

参考文献:

 

 

 

你可能感兴趣的:(论文阅读,深度学习,联邦学习,隐私泄露,模型反推,GAN)