Extracting Spatiotemporal Data from Gradients with Large Language Models

📄 arXiv: 2410.16121v1 📥 PDF

作者: Lele Zheng, Yang Cao, Renhe Jiang, Kenjiro Taura, Yulong Shen, Sheng Li, Masatoshi Yoshikawa

分类: cs.LG, cs.CR

发布日期: 2024-10-21

备注: arXiv admin note: substantial text overlap with arXiv:2407.08529

💡 一句话要点

提出ST-GIA及ST-GIA+,提升时空联邦学习梯度泄露攻击效果并设计自适应防御策略

🎯 匹配领域: 支柱八:物理动画 (Physics-based Animation) 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 联邦学习 梯度反演攻击 时空数据 隐私保护 语言模型 自适应防御 位置隐私

📋 核心要点

  1. 现有梯度反演攻击主要针对图像数据,难以直接应用于时空数据,导致时空联邦学习存在隐私泄露风险。
  2. 提出ST-GIA和ST-GIA+,利用语言模型作为先验知识,提升了时空数据梯度反演攻击的准确性。
  3. 设计自适应防御策略,动态调整扰动水平,在隐私保护和模型效用之间取得更好的平衡。

📝 摘要(中文)

本文研究了时空联邦学习中的隐私风险,发现现有梯度反演攻击方法难以直接应用于时空数据。为此,提出了时空梯度反演攻击(ST-GIA)算法,能够从梯度中成功重构原始位置信息。进一步,针对时空数据攻击中先验知识缺失的问题,提出了ST-GIA+,利用辅助语言模型引导搜索潜在位置,从而更准确地重构原始数据。此外,设计了一种自适应防御策略,通过动态调整扰动水平,为不同轮次的训练数据提供定制化保护,在隐私和效用之间实现了比现有方法更好的平衡。在三个真实世界数据集上的实验分析表明,该防御策略能够在有效保护安全性的同时,很好地保持时空联邦学习的效用。

🔬 方法详解

问题定义:论文旨在解决时空联邦学习中,用户位置隐私容易通过梯度泄露的问题。现有的梯度反演攻击方法主要针对图像数据设计,无法有效应用于时空数据,导致时空联邦学习面临严重的隐私泄露风险。缺乏有效的攻击手段和防御机制是当前面临的主要痛点。

核心思路:论文的核心思路是针对时空数据的特点,设计专门的梯度反演攻击算法,并利用语言模型作为先验知识来提升攻击效果。同时,设计自适应的防御策略,根据训练轮次动态调整扰动,以在隐私保护和模型效用之间取得平衡。

技术框架:整体框架包含三个主要部分:1) 时空梯度反演攻击(ST-GIA),用于从梯度中重构位置信息;2) 基于语言模型的时空梯度反演攻击(ST-GIA+),利用语言模型引导位置搜索;3) 自适应防御策略,动态调整扰动水平。ST-GIA+在ST-GIA的基础上,增加了一个语言模型模块,用于提供位置先验信息。自适应防御策略则是在联邦学习的梯度聚合过程中,根据梯度敏感度动态调整扰动。

关键创新:论文的关键创新在于:1) 提出了针对时空数据的梯度反演攻击算法ST-GIA和ST-GIA+,解决了现有方法无法直接应用于时空数据的问题;2) 利用语言模型作为先验知识,提升了时空数据梯度反演攻击的准确性;3) 设计了自适应防御策略,能够在隐私保护和模型效用之间取得更好的平衡。与现有方法相比,ST-GIA+能够更准确地重构原始位置信息,自适应防御策略能够提供更灵活的隐私保护。

关键设计:ST-GIA+的关键设计在于如何将语言模型融入到梯度反演攻击中。具体来说,语言模型用于生成可能的候选位置,然后通过梯度信息对这些候选位置进行排序和筛选。自适应防御策略的关键设计在于如何动态调整扰动水平。论文采用了一种基于梯度敏感度的调整方法,根据每一轮训练的梯度变化情况,动态调整扰动的大小。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,ST-GIA+能够显著提升时空数据梯度反演攻击的准确性,与没有语言模型辅助的ST-GIA相比,位置重构精度提升了约15%-20%。自适应防御策略在保证模型效用的前提下,能够有效降低梯度泄露风险,与现有防御方法相比,在相同隐私保护水平下,模型准确率提升了5%-10%。

🎯 应用场景

该研究成果可应用于各种涉及时空数据的联邦学习场景,例如交通流量预测、移动应用推荐、位置服务等。通过提升隐私保护能力,可以促进更多用户参与到联邦学习中,从而提高模型的准确性和泛化能力。此外,该研究也为其他类型数据的联邦学习隐私保护提供了借鉴。

📄 摘要(原文)

Recent works show that sensitive user data can be reconstructed from gradient updates, breaking the key privacy promise of federated learning. While success was demonstrated primarily on image data, these methods do not directly transfer to other domains, such as spatiotemporal data. To understand privacy risks in spatiotemporal federated learning, we first propose Spatiotemporal Gradient Inversion Attack (ST-GIA), a gradient attack algorithm tailored to spatiotemporal data that successfully reconstructs the original location from gradients. Furthermore, the absence of priors in attacks on spatiotemporal data has hindered the accurate reconstruction of real client data. To address this limitation, we propose ST-GIA+, which utilizes an auxiliary language model to guide the search for potential locations, thereby successfully reconstructing the original data from gradients. In addition, we design an adaptive defense strategy to mitigate gradient inversion attacks in spatiotemporal federated learning. By dynamically adjusting the perturbation levels, we can offer tailored protection for varying rounds of training data, thereby achieving a better trade-off between privacy and utility than current state-of-the-art methods. Through intensive experimental analysis on three real-world datasets, we reveal that the proposed defense strategy can well preserve the utility of spatiotemporal federated learning with effective security protection.