联邦学习--数据攻击(2)

参考论文：See through Gradients: Image Batch Recovery via GradInversion（CVPR 2021 ）
源代码：
核心思想：解决了Deep Leakage from Gradients（NeurIPS 2019）中batch大于1效果无效的情况。
缺点：

1 问题定义

训练深度神经网络需要从数据批次中进行梯度估计以更新参数。每个参数的梯度在一组数据上取平均值，这被认为对于联合、协作和联合学习应用程序中的隐私保护训练是安全的。之前的工作只显示了在非常严格的条件下给定梯度恢复输入数据的可能性——单个输入点，或者没有非线性的网络，或者一个小的 32 ^ 32 px 输入批次。因此，较大批次的平均梯度被认为是安全的。在这项工作中，我们引入了 GradInversion，使用它可以为大型网络（例如 ResNets（50 层）、复杂的数据集（例如 ImageNet）（1000 个类别，224 ^ 224像素）。我们制定了一个优化任务，将随机噪声转换为自然图像，匹配梯度，同时正则化图像保真度。我们还提出了一种给定梯度的目标类标签恢复算法。我们进一步提出了一个组一致性正则化框架，其中从不同的随机种子开始的多个代理协同工作以找到原始数据批次的增强重建。我们表明梯度编码了惊人的大量信息，因此即使对于复杂的数据集、深度网络和大批量，也可以通过 GradInversion 以高保真度恢复所有单个图像。

2 攻击方法