添加噪声(高斯噪声或拉普拉斯噪声) 与噪声方差有关,噪声方差scale of 1 0 − × 10^{-×} 10−×越大,梯度推测难度越大,但同时会影响检测任务的准确率;
低精度,即参数量化(单精度float16、bfloat16(float32的截断形式)、int8) float16和bfloat16精度对梯度推测攻击无效;int8可以抵抗这种攻击,但会严重损害准确率。
梯度压缩或稀疏化 将不重要的梯度、或是变化幅度较小的梯度修减为0;使得梯度下降方向选择困难;显然剪枝比例超过20%后,根据梯度信息无法推测出原始图像和标签;梯度TOP-K选择也属于这个范畴,详见这里。
大批量;高分辨率;安全算法(密码学、安全多方计算)。 本文提出的DLG梯度泄露推测算法限制batchsize ≤ \le ≤ 8,输入图像精度 ≤ 64 × 64 \le 64 \times 64 ≤64×64; 密码学算法中,同态加密显然是安全领域的圣杯,但它要求梯度为整数形式,这涉及编码优化的问题;且适用范围只针对参数服务器;此外,计算和通信开销也是需要关注的优化方向; 安全多方计算,典型的是两方(多方)秘密共享,但对实时性(同步)要求较高,如何降低通信开销是需要考虑的;**伪随机函数(PRF)**需要得到关注。