Make Split, not Hijack: Preventing Feature-Space Hijacking Attacks in Split Learning

📄 arXiv: 2404.09265v1 📥 PDF

作者: Tanveer Khan, Mindaugas Budzys, Antonis Michalas

分类: cs.CR, cs.AI

发布日期: 2024-04-14

备注: Accepted In Proceedings of the 29th ACM Symposium on Access Control Models and Technologies (SACMAT '24)


💡 一句话要点

提出混合方法以防止分割学习中的特征空间劫持攻击

🎯 匹配领域: 支柱一:机器人控制 (Robot Control)

关键词: 分割学习 函数秘密共享 数据隐私 特征空间劫持 机器学习 协作学习 安全性

📋 核心要点

  1. 现有的分割学习方法在保护数据隐私方面存在多种攻击脆弱性,导致隐私泄漏的风险增加。
  2. 本文提出了一种混合方法,通过在激活图中添加随机掩码并结合函数秘密共享,确保客户端数据的隐私性。
  3. 实验结果表明,该方法在通信开销和训练时间上均有显著提升,同时保持了高达96%的准确率。

📝 摘要(中文)

随着机器学习的普及,保护敏感数据的隐私变得愈加重要。分割学习(SL)作为一种协作学习技术,旨在保护客户端数据的同时提升机器学习过程。然而,SL存在多种攻击的脆弱性,影响数据隐私的有效性。本文提出了一种结合SL和函数秘密共享(FSS)的混合方法,以确保客户端数据隐私。客户端在发送激活图之前添加随机掩码,服务器无法访问原始函数,而是使用FSS生成的共享数据进行计算。通过视觉可逆性,我们证明了使用FSS时,服务器无法从激活图重建原始图像数据。该方法显著减少了隐私泄漏,并有效防止特征空间劫持攻击。实验结果显示,通信开销减少超过2倍,训练时间减少超过7倍,且准确率超过96%。

🔬 方法详解

问题定义:本文旨在解决分割学习中存在的特征空间劫持攻击问题,现有方法在保护客户端数据隐私方面存在明显不足,容易受到多种攻击的影响。

核心思路:通过将函数秘密共享(FSS)与分割学习相结合,客户端在发送激活图前添加随机掩码,确保服务器无法重建原始数据,从而增强数据隐私保护。

技术框架:整体架构包括客户端和服务器两个主要模块。客户端负责生成激活图并添加随机掩码,服务器则使用FSS处理这些数据,进行前向和反向传播。

关键创新:最重要的创新在于通过随机掩码和FSS的结合,确保服务器无法访问原始数据,从而有效防止特征空间劫持攻击,显著提高隐私保护能力。

关键设计:在参数设置上,随机掩码的生成方式和FSS的具体实现是关键设计细节。此外,损失函数和网络结构的选择也经过精心设计,以确保模型的高效性和准确性。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果显示,提出的方法在通信开销上减少超过2倍,训练时间减少超过7倍,相较于没有使用分割学习的同一模型,性能显著提升。同时,该方法在准确率上也保持在96%以上,表现出色。

🎯 应用场景

该研究的潜在应用领域包括医疗数据分析、金融数据处理和任何需要保护敏感信息的机器学习场景。通过增强数据隐私保护,该方法能够在协作学习中有效防止数据泄露,提升用户信任度,具有重要的实际价值和未来影响。

📄 摘要(原文)

The popularity of Machine Learning (ML) makes the privacy of sensitive data more imperative than ever. Collaborative learning techniques like Split Learning (SL) aim to protect client data while enhancing ML processes. Though promising, SL has been proved to be vulnerable to a plethora of attacks, thus raising concerns about its effectiveness on data privacy. In this work, we introduce a hybrid approach combining SL and Function Secret Sharing (FSS) to ensure client data privacy. The client adds a random mask to the activation map before sending it to the servers. The servers cannot access the original function but instead work with shares generated using FSS. Consequently, during both forward and backward propagation, the servers cannot reconstruct the client's raw data from the activation map. Furthermore, through visual invertibility, we demonstrate that the server is incapable of reconstructing the raw image data from the activation map when using FSS. It enhances privacy by reducing privacy leakage compared to other SL-based approaches where the server can access client input information. Our approach also ensures security against feature space hijacking attack, protecting sensitive information from potential manipulation. Our protocols yield promising results, reducing communication overhead by over 2x and training time by over 7x compared to the same model with FSS, without any SL. Also, we show that our approach achieves >96% accuracy and remains equivalent to the plaintext models.