Kurz notiert: Gradienten legen Trainingsdaten offen

In ihrem NeurIPS-2019 Artikel beschreiben Zhu et al. einen Angriff auf Federated Learning (FL): Sie zeigen wie Gradienten — die entweder in einer Client-Server- oder einer Peer-to-Peer-FL-Anwendung ausgetauscht werden — (private) Trainingsdaten offen legen. Dies funktioniert wie folgt: Der Angreifer (z. B. ein böswilliger Teilnehmer in einer Peer-to-Peer-FL-Anwendung) erzeugt zunächst einige zufällige „Dummy“-Eingaben und -Ausgaben. Mit Hilfe des gegebenen Neuronalen Netzes und seiner Gewichte führt der Angreifer nun einige forward und backward passes durch und leitet hierbei die entsprechenden „Dummy“-Gradienten ab. Der Angreifer minimiert dann den Abstand zwischen den „Dummy“-Gradienten und den tatsächlichen Gradienten, indem er die Ein- und Ausgaben durch Optimierung schrittweise anpasst. Nach einigen Iterationen „konvergieren“ die „Dummy“-Eingaben und -Ausgaben dann gegen die realen Ein- und Ausgaben, also den (privaten) Trainingsdaten. Abbildung 1 aus dem Originalartikel veranschaulicht diesen Algorithmus:

DLG algorithm

Abbildung 1: Deep Leakage from Gradients (DLG).

Die Autoren zeigen, dass ihr Angriff — den sie Deep Leakage from Gradients (DLG) nennen — sowohl im Bereich Computer Vision, bei denen sie Bilder pixelweise rekonstruieren, als auch im Bereich automatischeb Sprachverarbeitung, bei denen sie Sätze tokenweise rekonstruieren, erfolgreich ist. Abbildungen 2 und 3 aus dem Originalartikel veranschaulichen dies:

Pixel-wise reconstruction of training data images by DLG.

Abbildung 2: Pixelgenaue Rekonstruktion von Bildern durch DLG.

Token-wise reconstruction of training data sentences by DLG

Abbildung 3: Tokengenaue Rekonstruktion von Sätzen durch DLG.

Die Autoren schlagen 3 dann Abwehrmechanismen gegen DLG vor: Gradientenstörung (gradient pertubation), Gradientenpräzisionssenkung (gradient precision lowering) und Gradientenkompression (gradient compression). Sie stellen experimentell fest, dass Gradientenstörung unter Verwendung von Gauß- und Laplace-Rauschen in einer Größenordnung von mehr als 0,01 erfolgreich gegen DLG verteidigt, die Genauigkeit des Modells jedoch erheblich verschlechtert. Ein Absenken der Gradientengenauigkeit, bspw. durch die Verwendung von halber Präzision, wehrt einen DLG-Angriff nicht ab. Gradientenkomprimierung, d.h. das Ersetzen kleiner Gradienten durch Null, wehrt einen DLG-Angriff ab, wenn mehr als 20% aller Gradienten komprimiert werden. Darüber hinaus stellen die Autoren fest, dass die Verwendung großer batches DLG unmöglich macht. Auch das Verschlüsseln von Gradienten ist ein praktikabler Abwehrmechanismus gegen DLG.

In der Praxis bedeutet das:

Wenn Sie FL aufgrund datenschutzrechtlicher Überlegungen einsetzen, müssen Sie sicherstellen, dass sie die (privaten) Trainingsdaten schützen, bspw. durch Komprimierung oder Verschlüsselung der ausgetauschten Gradienten.

Kontakt

Nicht alle wichtigen Informationen
stehen in Tabellen.

Nutzen Sie auch das, was sich in den Texten und Grafiken Ihrer Berichte befindet. Schreiben Sie uns!