机构名称:
¥ 1.0
摘要 - 针对联邦学习(FL)的重建攻击旨在通过用户上传的梯度重建用户的样本。当地差异隐私(LDP)被视为针对各种攻击的有效防御,包括在佛罗里达州的样本重建,在佛罗里达州,梯度被剪切和扰动。现有的攻击在LDP中在FL中无效,因为被剪切和扰动梯度抑制了大多数样本信息以进行重建。此外,现有的攻击还将其他样本信息嵌入到梯度中,以改善攻击效果并导致梯度扩展,从而导致使用LDP在FL中进行更严重的梯度剪辑。在本文中,我们提出了针对基于LDP的FL的样本重建攻击,任何目标模型都可以重建受害者的敏感样本,以说明使用LDP的FL并非完美无瑕。考虑了LDP重建攻击和噪声中的梯度扩展,提出的攻击的核心是梯度压缩和重建的Sample deNoisis。对于梯度压缩,提出了基于样本特征的推理结构,以减少针对LDP的冗余梯度。对于重建的样品denoising,我们人为地引入零梯度,以观察噪声分布和尺度置信区间以过滤噪声。理论证明保证了拟议攻击的有效性。评估表明,拟议的攻击是唯一在基于LDP的FL中重新结构受害者培训样本的攻击,并且对目标模型的准确性几乎没有影响。我们得出的结论是,基于自然党的FL需要进一步改进,以防御样本重建攻击。
当地差异隐私不够
主要关键词
相关文件推荐
