Neue Angriffsmethode enthüllt Schwachstellen im Vertical Federated Learning

In einem typischen Vertical Federated Learning (VFL) arbeiten mehrere Teilnehmer zusammen, um ein gemeinsames Modell zu trainieren. Dabei besitzt jede Partei unterschiedliche Merkmale für dieselben Datenpunkte, während die Labels ausschließlich einer Partei gehören. Da Labels sensible Informationen enthalten, muss VFL die Privatsphäre dieser Labels schützen.

Aktuelle Angriffe auf VFL beschränken sich meist auf spezielle Szenarien oder benötigen zusätzliche Hilfsdaten, was sie in realen Anwendungen unpraktisch macht. Die neue Label Enumeration Attack (LEA) löst dieses Problem, indem sie erstmals in mehreren VFL-Setups funktioniert und keine externen Daten erfordert.

LEA nutzt Clustering, um mögliche Zuordnungen zwischen Proben und Labels zu enumerieren. Anschließend prüft sie, welche Zuordnung die tatsächlichen Labels am besten widerspiegelt, indem sie die Ähnlichkeit zwischen dem echten Modell und simulierten Modellen unter jeder möglichen Zuordnung bewertet.

Ein zentrales Problem ist die Messung der Modellähnlichkeit, denn identische Daten können zu Modellen mit unterschiedlichen Gewichten führen. Die Autoren schlagen vor, die Kosinusähnlichkeit der Gradienten des ersten Trainingsdurchlaufs zu verwenden. Diese Methode ist nicht nur effizienter, sondern liefert auch präzisere Ergebnisse als der Vergleich von Parameterähnlichkeiten.

Der Hauptnachteil bleibt die enorme Rechenlast, da für jede mögliche Zuordnung ein eigenes Modell trainiert und verglichen werden muss. Um dies zu reduzieren, wird die Binary-LEA vorgestellt, die das Problem aus einer neuen Perspektive angeht und die Komplexität deutlich senkt.