NeFut Logo NeFut
EN 管理员登录

[AI学术] FedCVESA:通过相关值编码与分段聚合消除联邦学习中的训练数据风险

发布于:2026-07-10 22:00 最后更新:2026-07-13 08:31
#AI #privacy #Federated Learning

摘要

联邦学习(FL)通过将原始数据保留在本地客户端来避免显式的数据暴露,但在训练过程中和学习到的模型自身仍然存在隐私风险。近期的集中式训练数据剥离(TATD)攻击表明,恶意训练可能利用深度模型的记忆能力来存储并恢复训练数据。然而,在联邦学习环境中,这种基于记忆的威胁尚未得到系统研究,因为多客户端平均可能会覆盖编码的训练数据。

在本文中,我们研究了一种白盒TATD攻击,其中恶意服务器从K个参与客户端中选择n个目标客户端,并在联邦训练过程中积极将私有训练数据写入全局模型。我们提出了FedCVESA,这是一种联邦变体的相关值编码攻击(CVEA),通过向目标客户端的损失函数添加皮尔逊相关正则化器,使得私有训练数据逐渐编码到选定的模型参数中,这些参数被称为载体参数。为了减少服务器聚合期间对载体参数的覆盖,我们进一步提出了分段聚合方法,对分散的载体参数进行保护,同时对其余参数保持标准平均。

在Dirichlet非独立同分布分区下对MNIST、Fashion-MNIST和CIFAR-10的实验表明,所提方法能够从训练模型中窃取语义上有意义的私有训练图像,同时在受控的概念验证设置中保持可接受的主任务效用。这些结果表明,在研究的白盒恶意服务器设置下,联邦学习可以成为一个参数级别的记忆通道,以进行主动TATD攻击。

博主点评: 本文提出的FedCVESA方法为联邦学习中的隐私攻击提供了新的视角,强调了在多客户端环境中数据隐私保护的重要性。通过结合皮尔逊相关性和分段聚合策略,有效地减少了数据泄露风险,为未来的研究提供了有价值的参考。

原文链接: https://arxiv.org/abs/2607.07314

[h] 返回首页