Privacy Against Agnostic Inference Attacks in Vertical Federated Learning

Dit paper introduceert een nieuwe vorm van agnostische inferentie-aanval in verticaal federatief leren waarbij de actieve partij het model van de passieve partij kan reconstrueren, en stelt privacy-bevorderende maatregelen voor die een afweging mogelijk maken tussen de privacy van de passieve partij en de interpreteerbaarheid van het model door het systematisch vervormen van de parameters.

De kern

Stel je voor dat twee vrienden, Jan en Pieter, samen een heel slim voorspellingsmodel bouwen. Ze willen weten of iemand een creditcard mag krijgen of niet.

• Jan (de Actieve Partij) heeft de lijst met mensen en weet al wie er "ja" of "nee" heeft gekregen (de antwoorden). Hij heeft ook wat basisinformatie, zoals de leeftijd van de mensen.
• Pieter (de Passieve Partij) heeft geen antwoorden, maar wel heel specifieke, gevoelige gegevens: het inkomen, de hoeveelheid spaargeld en de schulden van diezelfde mensen.

Ze werken samen via een Federated Learning systeem. Dit betekent dat ze hun gegevens niet bij elkaar gooien (om privacyredenen), maar dat ze samen een model trainen. Jan leert van zijn antwoorden, Pieter leert van zijn financiële data, en samen maken ze een supermodel.

Het Nieuwe Gevaar: De "Gokker" (Agnostic Inference Attack)

In het verleden dachten onderzoekers dat ze veilig waren zolang ze de uitslag (de score) van het model niet direct deelden. Maar deze paper toont een nieuw, slim gevaar aan: de Agnostic Inference Attack.

Stel je voor dat Jan een eigen, simpele gokker (een apart model) in zijn hoofd heeft. Hij heeft de antwoorden en zijn eigen data. Hij kan dus zelf al redelijk goed voorspellen wie een creditcard krijgt.

1. De Slimme Gok: Jan gebruikt zijn eigen gokker om te raden wat het echte gezamenlijke model zou zeggen over een nieuwe persoon, zelfs voordat hij die persoon aan Pieter vraagt.
2. De Omgekeerde Rekening: Omdat Jan weet hoe zijn eigen gokker werkt, en hij weet wat het gezamenlijke model daadwerkelijk zegt (als hij het vraagt), kan hij de wiskunde achterstevoren doen. Hij kan zeggen: "Hé, mijn gok was 60%, maar het gezamenlijke model zegt 80%. Het verschil moet komen van Pieters data!"
3. Het Resultaat: Zelfs zonder dat Pieter zijn data deelt, kan Jan door dit verschil te analyseren, Pieters gevoelige gegevens (inkomen, schulden) terugrekenen. Het is alsof Jan door de geur van de koffie te ruiken, kan vertellen welk merk suiker Pieter in zijn kopje heeft gedaan, zonder ooit naar de suikerpot te kijken.

Dit is gevaarlijk omdat het werkt op alle data, zelfs op mensen die nog nooit zijn gecheckt. Jan hoeft niet eens te weten wat de echte score is; hij gokt erop en gebruikt die gok om Pieters geheimen te onthullen.

De Oplossing: De "Vervormde Spiegel" (Privacy-Preserving Schemes)

Hoe beschermen we Pieter? De auteurs zeggen: "Laten we de score niet verdraaien (dat werkt niet meer), maar laten we Pieters data zelf een beetje vervormen voordat we het model trainen."

Stel je voor dat Pieter zijn gegevens in een spiegel stopt, maar hij gebruikt een kromme, vervormende spiegel (een wiskundige transformatie).

• Voor Jan (de Actieve Partij): Hij ziet nog steeds een beeld. Hij kan het model gebruiken om te zeggen "Ja" of "Nee". Hij kan zelfs nog een beetje zien waarom (bijvoorbeeld: "Hoge schulden zijn slecht"). Dit is belangrijk voor uitlegbaarheid. Banken moeten immers kunnen uitleggen waarom ze iemand een creditcard weigeren.
• Voor de Gokker (de Aanval): De vervorming is zo slim dat Jan's "gokker" de wiskunde niet meer kan achterstevoren doen. Als Jan probeert Pieters inkomen terug te rekenen, krijgt hij een wazig, onzinbeeld. Het is alsof Jan door de kromme spiegel probeert te raden wat er achter de spiegel staat, maar de afbeelding is zo vervormd dat elke gok fout is.

De Balans: Privacy vs. Uitlegbaarheid

De paper introduceert een prachtige balans, een afweging:

• Te weinig vervorming: Jan kan Pieters data makkelijk terugrekenen (geen privacy), maar hij begrijpt het model perfect (goede uitleg).
• Te veel vervorming: Pieters data is volledig veilig (goede privacy), maar het model wordt zo wazig dat Jan niet meer kan uitleggen waarom hij een beslissing nam (geen uitleg).

De oplossing is om de vervorming precies goed te kiezen. Net zoals je een bril kunt kiezen die je scherp laat zien, maar toch een beetje privacy biedt. De auteurs hebben wiskundige formules bedacht om deze "vervorming" zo te berekenen dat Pieter veilig blijft, maar Jan nog steeds een bruikbaar model heeft.

Samenvatting in één zin

Deze paper waarschuwt dat zelfs als je je data niet deelt, een slimme tegenpartij je geheimen kan raden door het verschil tussen hun eigen gok en het gezamenlijke resultaat te analyseren; de oplossing is om je data vooraf een slimme, onzichtbare "wiskundige vervorming" te geven die de privacy beschermt zonder het nut van het model te vernietigen.

Technische samenvatting

Titel: Privacy tegen Agnostische Inference-aanvallen in Verticale Federated Learning

1. Probleemstelling

Het artikel richt zich op een nieuw type privacyrisico in Verticale Federated Learning (VFL). In een VFL-scenario werken twee partijen samen: een actieve partij (die de labels van de data bezit) en een passieve partij (die een andere set van kenmerken voor dezelfde samples bezit).

• Aanvalsscenario: De actieve partij wordt beschouwd als "honest-but-curious" (eerlijk maar nieuwsgierig). Traditionele inferentie-aanvallen vereisten dat de actieve partij toegang had tot de exacte of verstoord vertrouwensscores (confidence scores) van specifieke samples om de kenmerken van de passieve partij te reconstrueren.
• De Nieuwe Uitdaging: Dit artikel introduceert de agnostische inference-aanval. Hierbij probeert de actieve partij de kenmerken van de passieve partij te reconstrueren voor samples waarvoor geen vertrouwensscore is opgevraagd of bekend is (inclusief samples uit de trainingsfase). De aanval is "agnostisch" omdat de aanvallende partij de daadwerkelijke score van het doelwit niet kent.
• Risico: Zelfs zonder toegang tot de scores van de passieve partij kan de actieve partij, door gebruik te maken van hun eigen gelabelde data, een onafhankelijk model trainen om deze scores te schatten en vervolgens de passieve kenmerken te reconstrueren. Dit vormt een bedreiging voor de privacy van gebruikers, zelfs als de scores tijdens de voorspellingfase worden verstoord (bijv. door ruis of afronding).

2. Methodologie

A. De Agnostische Aanval (Adversary Model - AM)
De kern van de aanval bestaat uit twee stappen:

1. Training van een Adversary Model (AM): De actieve partij traint een onafhankelijke classifier (bijv. Logistische Regressie) uitsluitend op hun eigen kenmerken en de beschikbare labels. Dit model schat de vertrouwensscores ($\hat{c}$) van samples waarvoor de echte scores ($c$) nog niet bekend zijn.
2. Reconstructie van Kenmerken: Met deze geschatte scores kan de actieve partij een systeem van lineaire vergelijkingen opstellen om de passieve kenmerken ($X$) te reconstrueren.
   • Voor het geval dat het aantal passieve kenmerken ($d$) kleiner is dan het aantal klassen ($k$), wordt gebruik gemaakt van Kleinste-Kwadraten (Least Squares) schatting.
   • Voor het geval $d \geq k$ (onderbepaald systeem), wordt de half*-methode gebruikt (een bestaande techniek die de oplossing zoekt die het dichtst bij het midden van het zoekgebied ligt).
3. Verfijning (Refined AM - RAM): De aanval kan worden verbeterd door de actieve partij de geschatte scores van het AM te laten "fine-tunen" met een klein aantal daadwerkelijke scores die eerder van de coördinator zijn ontvangen. Dit resulteert in een Refined Adversary Model (RAM) dat de scores nauwkeuriger schat, waardoor de reconstructie van de passieve kenmerken significant verbetert.

B. Privacy-bewarende Schemes (PPS)
Om deze aanval te weren, stelt de auteur voor om niet de scores te verstoren, maar de parameters van het passieve model ($W_{pas}$) systematisch te vervormen voordat deze aan de actieve partij worden vrijgegeven.

• Doel: Het behoud van de bruikbaarheid (utility) van het model en de interpretatie voor de actieve partij, terwijl de reconstructie van de passieve kenmerken wordt bemoeilijkt.
• Techniek: De passieve partij transformeert hun parameters met een geheime orthogonale matrix $R$ (waarbij $R^T R = I$). De actieve partij ontvangt $W_{pas}R$ in plaats van $W_{pas}$.
• Optimalisatie: De keuze van $R$ wordt geformuleerd als een geoptimaliseerd probleem (vaak over Stiefel-maandvariëteiten) om de Mean Squared Error (MSE) van de reconstructie door de aanvallende partij te maximaliseren, onder de beperking dat de vervorming ($g(R)$) binnen een acceptabel bereik blijft voor interpretatie.
• Trade-off: Er ontstaat een expliciete afweging tussen privacy (hoge MSE voor de aanval) en interpretatie (lage vervorming van de parameters). De partijen kunnen de mate van vervorming ($\epsilon$) afstemmen op hun specifieke behoeften.

3. Belangrijkste Bijdragen

1. Definitie van Agnostische Aanval: Het introduceren van een nieuw aanvalsscenario waarbij de aanval succesvol is zonder toegang tot de daadwerkelijke vertrouwensscores van het doelwit, wat alle trainings- en voorspellingssamples kwetsbaar maakt.
2. Validatie van RAM: Het aantonen dat het gebruik van een beperkt aantal bekende scores om het AM te verfijnen (RAM) de aanvalskracht aanzienlijk verhoogt, zelfs bij weinig data.
3. Nieuwe Defensiestrategie: Het voorstellen van Privacy-Preserving Schemes (PPS) die werken op het niveau van de modelparameters in plaats van de output-scores. Dit is effectiever tegen agnostische aanvallen dan het verstoren van scores.
4. Analytische Formulering: Het afleiden van wiskundige uitdrukkingen voor de MSE van de reconstructie onder verschillende scenario's ($d < k$ en $d \geq k$) en het oplossen van de optimalisatieproblemen voor de PPS.
5. Empirische Evaluatie: Uitgebreide experimenten op vijf real-world datasets (Bank, Adult, Satellite, PenDigits, Grid) die de effectiviteit van de aanval en de verdediging aantonen.

4. Resultaten

• Effectiviteit van de Aanval: Experimenten tonen aan dat de agnostische aanval (via AM) zeer effectief is, vooral op datasets met sterke correlaties tussen actieve en passieve kenmerken (zoals Bank en Adult). Zelfs zonder de echte scores kan de aanval de passieve kenmerken nauwkeurig reconstrueren.
• Invloed van RAM: Het gebruik van slechts 50 tot 100 bekende scores om het AM te verfijnen (RAM) verbetert de aanvalsprestaties aanzienlijk, waardoor de MSE van de reconstructie daalt tot in de buurt van de prestaties van een aanval met volledige score-informatie.
• Effectiviteit van PPS: De voorgestelde PPS's (parametervervorming) slagen erin de MSE van de reconstructie door de aanvallende partij drastisch te verhogen (dus de privacy te verbeteren) terwijl het model zijn voorspellende vermogen behoudt.
  • De resultaten tonen een duidelijke privacy-interpretatie trade-off: een hogere vervorming leidt tot betere privacy maar minder bruikbare interpretatie voor de actieve partij.
  • De PPS's zijn robuust tegen verschillende aanvalsmethoden en werken goed over verschillende dataset-omvangs en configuraties.
• Dataset-afhankelijkheid: De aanval werkt minder goed op datasets met zwakke correlaties tussen kenmerken (zoals Grid), wat aangeeft dat de sterkte van de aanval afhangt van de statistische structuur van de data.

5. Betekenis en Conclusie

Dit artikel is van groot belang voor de veiligheid van Federated Learning-systemen, vooral in sectoren zoals financiën en zorg waar interpretatie en privacy cruciaal zijn.

• Verschuiving in Paradigma: Het onderzoek toont aan dat het beschermen van alleen de output-scores (zoals in eerdere werken) onvoldoende is. De focus moet verschuiven naar het beschermen van de modelparameters zelf.
• Balans: Het biedt een praktische oplossing voor het dilemma tussen privacy en interpretatie. In plaats van te kiezen voor een volledig "black-box" (geen interpretatie) of "white-box" (geen privacy) systeem, stelt de auteur een gebalanceerde aanpak voor waarbij de parameters bewust worden vervormd om privacy te garanderen zonder de bruikbaarheid van het model volledig te vernietigen.
• Toekomstige Implicatie: Voor organisaties die VFL implementeren, is het essentieel om te beseffen dat zelfs zonder directe toegang tot voorspellingsresultaten, de samenwerking kwetsbaar kan zijn voor inferentie-aanvallen. De voorgestelde PPS's bieden een noodzakelijke verdedigingslaag.