摘要

本文探讨了联邦学习（FL）中梯度泄露攻击的脆弱性，特别是在梯度保护机制中使用扰动方法的问题。文章提出了一种新型的扰动抵抗梯度泄露攻击（PGLA），该方法利用梯度扰动保护的固有扩散特性，构建了一个基于扩散的去噪模型，能够在不访问原始模型结构或第三方数据的情况下，恢复经过扰动的梯度。通过广泛的实验，PGLA展示了在梯度去噪和数据恢复方面的最佳质量，揭示了FL训练过程中梯度泄露的威胁。

原理

PGLA的工作原理基于梯度扰动保护的扩散特性。在联邦学习中，每个参与客户端在将梯度上传至服务器之前，会向本地梯度注入特定量的噪声，以保护隐私。PGLA通过构建一个扩散模型，利用梯度的扩散过程来去除这些噪声。具体来说，PGLA通过捕捉扰动在扩散反向过程中的干扰水平，释放梯度去噪能力，从而通过自适应采样步骤生成接近原始清洁版本的梯度。

流程

PGLA的工作流程包括以下几个关键步骤：

1. 获取受保护的梯度：攻击者在联邦学习训练过程中窃取共享的扰动梯度。
2. 构建代理模型：根据窃取的扰动梯度数据结构，构建一个能够输出与目标攻击客户端本地模型相同梯度数据结构的代理模型。
3. 训练梯度扩散模型：利用代理模型提取的清洁梯度构建训练数据集，训练梯度扩散模型。
4. 恢复原始梯度：将窃取的共享扰动梯度输入到训练好的PGLA梯度扩散模型中，生成恢复的梯度，进一步用于基于梯度的攻击以获取隐私信息。

应用

PGLA的应用前景主要集中在联邦学习的隐私保护领域。通过揭示现有梯度保护机制的脆弱性，PGLA不仅能够帮助研究人员和从业者更好地理解和评估联邦学习中的隐私风险，还能推动开发更有效的防御策略。此外，PGLA的研究也为未来在更广泛的机器学习场景中设计和实施隐私保护措施提供了重要的参考和启示。