最近的攻击表明,可以从FEDSGD更新中恢复用户数据,从而破坏隐私。但是,这些攻击具有有限的实际相关性,因为联邦学习通常使用FedAvg算法。与FEDSGD相比,从FedAvg更新中恢复数据要困难得多,因为:(i)更新是在未观察到的中间网络权重计算的,(ii)使用大量批次,并且(iii)标签和网络权重在客户端上同时不同脚步。在这项工作中,我们提出了一项新的基于优化的攻击,该攻击通过解决上述挑战来成功攻击FedAvg。首先,我们使用自动差异化解决了优化问题,该分化迫使客户端更新的仿真,该更新生成了恢复的标签和输入的未观察到的参数,以匹配接收到的客户端更新。其次,我们通过将来自不同时期的图像与置换不变的先验联系起来来解决大量批处理。第三,我们通过在每个FedAvg步骤中估算现有FEDSGD攻击的参数来恢复标签。在流行的女性数据集中,我们证明,平均而言,我们从现实的FedAvg更新中成功地恢复了> 45%的图像,该更新是在10个本地时期计算出的10批批次,每个批次,每个图像,每张5张图像,而使用基线仅<10%。我们的发现表明,基于FedAvg的许多现实世界联合学习实现非常脆弱。
translated by 谷歌翻译
公平表示学习编码用户数据,以确保公平和实用性,无论下游应用。然而,学习单独公平的表示,即保证类似的个体相似地治疗,在计算机视觉等高维设置中仍然具有挑战性。在这项工作中,我们介绍了Lassi,是用于认证高维数据的个人公平的第一个代表学习方法。我们的主要洞察力是利用最近在生成建模方面的进步,以捕获生成潜空间中的类似个人。这允许通过使用对抗性训练将相似的个体覆盖相似的单独公平的表示,以最小化其表示之间的距离。最后,我们采用随机平滑,以证明类似的人在一起将类似的人映射在一起,反过来确保了下游应用的局部稳健性导致端到端的公平认证。我们对具有挑战性的真实世界形象数据的实验评估表明,我们的方法将认证的个人公平升高至60%,而不会显着影响任务效用。
translated by 谷歌翻译
联邦学习是一种培训机器学习模型而不共享培训数据的既定方法。但是,最近的工作表明,它不能保证数据隐私,因为共享梯度仍然可以泄漏敏感信息。为了将渐变泄漏问题正式化,我们提出了一种理论框架,首次对贝叶斯最佳对手被扣除作为优化问题的理论框架。我们证明现有的泄漏攻击可以看作是对输入数据和梯度的概率分布的不同假设的这种最佳对手的近似。我们的实验证实了贝叶斯最佳对手的有效性,当它具有潜在的潜在分布时。此外,我们的实验评估表明,几种现有的启发式防御对于更强的攻击无效,特别是在培训过程中。因此,我们的研究结果表明,建设更有效的防御和他们的评价仍然是一个公开问题。
translated by 谷歌翻译