【论文阅读笔记】DeepSight: Mitigating Backdoor Attacks in Federated Learning Through Deep Model Inspection

最新推荐文章于 2024-09-11 16:52:45 发布
最新推荐文章于 2024-09-11 16:52:45 发布
阅读量669 收藏 7
点赞数 2
分类专栏: 论文笔记 文章标签: 论文阅读
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leticia_m/article/details/129145474
版权
DeepSight是一种新方法,通过深度模型检查和过滤策略来识别和缓解联邦学习中的后门攻击。它通过分析模型输出标签的同质性、神经元更新能量和阈值超出度量来区分中毒模型和良性模型。此外,还使用聚类算法来增强过滤效果,并通过裁剪和聚合策略减少攻击影响。实验表明,DeepSight在NLP和NIDS任务上能有效抵御后门攻击,且性能优于当前SOTA方法。
摘要由CSDN通过智能技术生成

个人阅读笔记,如有错误欢迎指正

会议:2022 NDSS [2201.00763] DeepSight: Mitigating Backdoor Attacks in Federated Learning Through Deep Model Inspection (arxiv.org)

问题:现存的针对联邦学习后门攻击的策略是从聚合中剔除偏离模型,但是这样也会剔除掉分布差异较大的良性客户端,使得这类良性客户端在聚合中表现不佳。

创新:

  • 整体思路:识别具有高攻击性的模型并对其进行裁剪,对攻击性较低的可疑模型降低其在聚合过程中的权重
  • 提出了一种新的过滤方法,该方法进行了深度模型检查,并与剪切相结合,以识别目标中毒攻击
  • 提出了一种结合分类器和基于聚类的相似性估计的投票的模型过滤方案,单独的标签被用来识别具有恶意模型更新的集群,这样不仅使用模型的标签,还使用类似模型的标签来决定接受或拒绝模型更新,防止了具有偏离数据分布的良性客户端的模型被过滤
  • 提出了阈值超出度量,该度量分析模型输出层的参数更新,以测量其训练数据的同质性,通过这个度量来构建标记模型是良性or可疑的分类器
  • 设计聚类算法来识别具有相似训练数据的模型更新,通过相似性估计支持分类器
  • 提出了两种用于测量神经网络结构和输出细粒度差异的方法:第一种侧重于模型预测输出的变化,第二种测量神经网络输出层参数更新的变化。第一个在联邦学习中使用模型、预测和单个神经元的深度分析来减轻中毒攻击的工作

解决的挑战性问题:     

  • 如何区分中毒模型和基于不同数据训练的良性模型。
  • 如何纠缠于后门性能,使得A绕过基于这些技术的方案的唯一方法是降低后门性能。
  • 如何在不知道确切数据的情况下使技术普遍适用。例如,对于NIDS场景,无论模型是分析IP摄像头还是智能传感器的网络流量,都不应该有什么不同。
  • 如何确保高精度,防止良性模型被错误排除。
  • 如何将各个技术有地结合到动态防御方案中,它可以动态地适应攻击。因此,除非A克服了每一种技术,否则该方案不会被破坏,也不会出现误报。

思路来源:如果模型更新在所使用的训练数据中具有很强的焦点(如果很少有标签出现的频率明显高于所有其他标签),则分类器认为该更新是中毒的

方法:

        整体架构:分为三个模块,过滤、修剪、聚和

过滤:通过对每个模型输出标签的同质性分析,来检测和排除包含后门的模型。

        将分类器与聚类相结合,以便在最终决定接受或拒绝模型时也考虑类似模型的标签

        Division Differences:得到两个模型之间的差异性

        在第t轮迭代中,利用种子从20000个随机样本中提取输入到模型W_t,k和W_t,l中,将两个模型的i个神经元预测的输出结果依次与全局模型G_t相比较,因为W_t,k和W_t,l的训练数据符合类似的分布,因此他们神经元的预测输出与全局模型的比值也是类似的。(此处由于不在服务器端部署数据,因此服务器端不会产生输出预测,所以采用随机的一组向量为替代,原理是不需要得出具体的真是预测值而是希望得到两个模型之间的差异性比较)

        Normalized Update Engergy:评估模型中单个神经元的能量,能量越高表示预测该类别标签的数据更频繁

        预测标签分布较多的神经元更新的频率更高,反之更低。神经元更新幅度的变化会反应出标签的分布

        第k个客户端上第i个输出神经元的能量,H为神经元与前一层的连接数量,b为bias,w为权重

       

        标准化

        Threshold Exceedings:中毒模型的数据主要集中在后门样本上,与良性模型相比缺乏同质性,如果出现同质性非常高的模型则认为其是中毒模型。通过“阈值超出”的度量,该度量度量训练数据的同质性

        最大的神经元能量,P为神经元总量

        设定阈值为最大神经元能量的1%,为防止因输出标签较少导致所有神经元的数据都大于阈值,最终设定其为1/P与1%中的最大值

        超过阈值的神经元数量由以下给出,函数1(c>ε记1,否则记0)

        70个良性模型与30个中毒模型,良性模型中超出阈值的神经元数量更多。对于将模型更新分类为良性或中毒,定义了超过阈值中值数量的一半的分类边界。如果模型超过阈值的数量低于此阈值,则该模型被标记为中毒。

整体算法流程:

聚类算法流程:

裁剪:该层强制执行更新的最大L2范数,并在必要时缩小它们,以减轻中毒模型,以高比例因子补偿弱训练后门(以绕过第一层)。

        把模型的更新限制到S以内。S的取值为所有模型更新的中位数

聚合:使用FedAvg将所有剩余的剪切模型聚合在一起。在最后一轮中,聚合是按集群方式执行的,并且还包括筛选过的、裁剪过的模型,只有来自同一集群的模型被聚合在一起,每个客户端接收到为各自的集群聚合的模型。

实验:

主要是在NLP任务和物联网NIDS(Non IID)任务上做的,本文提出的模型无论是在NLP还是在NIDS上的MA BA都达到或超过了SOTA

 

 

_Mia_
关注
专栏目录
DeepSight-Face-Recognition-SDK:Deepsight Face SDK示例
04-27
x64平台上的Linux和Windows操作系统当前支持Deepsight Face。 无论有没有GPU Acceleration它都可用。 免费版本没有它。 访问并下载适合您平台的版本 视窗 运行安装文件并安装它不要求写入管理员权限的位置。 默认...
赛门铁克互联网安全威胁报告
03-03
赛门铁克在 200 多个国家/地区部署了 240,000 多个传感器,这些传感器通过结合使用 Symantec DeepSight:trade_mark:威胁管理系统、赛门铁克托管安全服务和诺顿个人用户产品等赛门铁克产品和服务,以及其他第三方数据...
DeepSight: Mitigating Backdoor Attacks in Federated Learning Through Deep Model Inspection论文阅读报告
mental的博客
11-04 987
联邦学习(FL)允许多个客户在其私有数据上协作训练神经网络(NN)模型,而不会泄露数据。最近,针对FL的几起针对性中毒袭击事件已经出台。这些攻击为生成的模型注入了后门,使得对手控制的输入被错误分类。现有的反后门攻击的对策效率低下,通常只是为了将偏离模型排除在聚合之外。然而,这种方法还删除了具有偏差数据分布的客户机的良性模型,从而导致聚合模型对此类客户机的性能不佳。为了解决这个问题,我们提出了DeepSight,一种用于缓解后门攻击的新型模型过滤方法。
上海Deepsight招聘C++啦,对AI视觉感兴趣的看过来!实习/全职皆可哦~
m0_57246548的博客
08-04 172
上海Deepsight招聘啦!
READ-2349 DeepSight: Mitigating Backdoor Attacks in Federated Learning Through Deep Model Inspection
m0_51638853的博客
01-23 382
对于每一张图片,神经网络的目的均是使对应标签的预测概率最大化,当使用另一个具有不同标签的样本进行训练时,前一个图像的预测向量也会受到影响。当某个类别的样本经常出现时,模型预测将更偏向于对该标签的预测。因此,当所有客户端都从相同的全局模型出发时,具有相似数据的客户端将试图为其数据样本实现相似的预测,因此他们将以相似的方式调整参数,从而导致相似的模型更新,进而两个客户端模型与全局模型的差距相似。
NDSS 2022 接收的列表
All In AI and Big Data
06-21 3073
安全四大顶会之一的NDSS 2022年接收的论文列表,安全研究顶好的研究素材都是从论文里来。
《DBA: DISTRIBUTED BACKDOOR ATTACKS AGAINST FEDERATED LEARNING阅读笔记
Yale的博客
01-20 2908
DBA: DISTRIBUTED BACKDOOR ATTACKS AGAINST FEDERATED LEARNING ** 本文发在ICLR 2020,针对联邦学习进行的后门攻击。其提出的方案针对传统的针对FL的攻击而言更隐蔽、持续、也更有效。** Abstract 联邦学习可以聚和由不同参与方提供的信息来训练得到一个更好的模型,它分布式学习的特点导致其存在一个内生问题:不同参与方提供的各种各样的数据可能会带来新的漏洞。 除了最近针对联邦学习的中心化的后门攻击(在训练期间每一方都嵌入一个全局trigge
【翻译】Neural Cleanse: Identifying and Mitigating Backdoor Attacks in Neural Networks
Antrn
04-12 6697
文章目录ABSTRACTI. INTRODUCTIONII. BACKGROUND: BACKDOOR INJECTION IN DNNSIII. OVERVIEW OF OUR APPROACH AGAINST BACKDOORSA. Attack ModelB. Defense Assumptions and GoalsC. Defense Intuition and OverviewIV. ...
FLMAAcBD: Defending against backdoors in Federated Learning via Model Anomalous Activation Behavior
Restart的博客
05-06 788
如果获得的簇数量等于或大于两个(噪声也被视为一类),则表明可能存在后门攻击。否则视为正常,不采取进一步措施。经过降维和归一化后,
物联网和网络物理系统中的物联网系统联合学习的安全性:问题、限制、挑战和解决方案
物联网和网络物理系统3(2023)155物联网系统联合学习的安全性:问题、限制、挑战和解决方案Jean-Paul A.作者:Hassan N.Noura,*,Ola Salmanba大学BourgogneFranche-Comt'e(UBFC),FEMTO-ST研究所,法国b贝鲁特...
蚂蚁金服deepinsight.pptx
11-21
蚂蚁金服 DeepInsight 的发展历史与架构演进 蚂蚁金服 DeepInsight 是一款基于大数据的敏捷 BI 产品,旨在帮助企业更好地分析和挖掘数据价值。下面是 DeepInsight 的发展历史和架构演进: 石器时代(打猎,采集) ...
论文阅读:3D Gaussian Splatting for Real-Time Radiance Field Rendering
qq_53589322的博客
09-11 1103
本工作首先基于SFM的点云设计了能快速精确表达场景的3D高斯函数,并以此开发了可由CUDA加速的渲染算法,实现了辐射场的实时渲染。本论文的核心在于3D高斯函数的场景表达方式以及快速渲染的方法。该方法整体如下图所示:首先从SFM得到的稀疏点云构建三维高斯函数,在训练过程中通过可微的快速渲染器对3D高斯函数的属性进行优化,并交替进行自适应密度控制。提出一个实时且能够高质量渲染场景的方法,通过结合离散和连续表示方法的优势,不仅克服了传统方法在噪声和渲染质量方面的限制,而且极大地提高了渲染速度。
[论文笔记]LLM.int8(): 8-bit Matrix Multiplication for Transformers at Scale
日积月累,天道酬勤
09-07 1342
⭐ 作者开发了一个两部分量化程序LLM.int8()。首先使用向量级量化,对矩阵乘法中的每个内积使用单独的归一化常数,从而对大多数特征进行量化。然而,对于突现的异常值(outlier),还包括了一种新的混合精度分解方案,将异常特征维度隔离到16位矩阵乘法中,同时仍然有99.9%以上的值在8位中进行乘法运算。
论文阅读《Robust Steganography for High Quality Images》高质量因子图片的鲁棒隐写
2301_81845359的博客
09-09 1020
用于高质量图像的鲁棒自适应隐写术方法;精细抖动机制
ACL 2024:交叉领域情感分析——论文阅读笔记
最新发布
weixin_62472350的博客
09-11 1198
阅读了一篇ABSA的论文,在这里写下自己的一些理解小笔记,可能有点小乱,原文在这下面: 论文链接:Refining and Synthesis: A Simple yet Effective Data Augmentation Framework for Cross-Domain Aspect-based Sentiment Analysis - ACL Anthology 中文文章链接:论文速递丨ACL 2024:交叉领域情感分析 (qq.com) 大多数ABS
论文阅读:RGBD GS-ICP SLAM
qq_53589322的博客
09-11 987
文章提出了RGBD GS-ICP-SLAM,这是一种利用三维高斯表示进行高保真度空间表示的密集表示SLAM系统。作者证明了利用单一三维高斯地图进行跟踪和建图的G-ICP和3DGS的融合可以产生相互的好处。跟踪和建图过程之间的高斯交换与尺度对齐最小化了冗余计算并构建了一个高效的系统。此外,动态关键帧选择方法提高了跟踪和建图性能。通过广泛的实验,所提出的方法在空间表示、相机位姿估计和总系统速度方面呈现出最先进的性能。
论文阅读笔记】Tackling the Generative Learning Trilemma with Denoising Diffusion GANs
weixin_43357695的博客
09-10 1271
我们模型的一个自然问题是,为什么不仅仅是训练一个 GAN,它可以使用传统的设置一次性生成样本,而我们的模型通过迭代去噪生成样本。在图像生成中,我们观察到我们的模型获得了与扩散模型竞争的样本质量和模式覆盖率,同时只需要两个去噪步骤,与Song等人(2021c)在CIFAR-10上的预测器校正器采样相比,采样速度提高了约2000倍。为了说明这一点,在图 2 中,我们可视化了多模态数据分布的不同去噪步长的真实去噪分布。具体来说,我们的正向扩散的设置类似于Eq. 1中的扩散模型,主要假设T很小(T≤8),
[论文笔记]QLoRA: Efficient Finetuning of Quantized LLMs
日积月累,天道酬勤
09-07 1955
⭐ 作者提出了QLoRA,一种高效的微调方法,它在减少内存使用的同时保持16位微调任务的完整性能。这是通过:4位NormalFloat、双重量化(对量化常数进行量化)、分页优化器(GPU内存不足的情况下,自动进行CPU和GPU之间的页面传输)来管理内存峰值实现的。微调时冻结**4位量化预训练语言模型**而向低秩适配器(LoRA)反向传播梯度。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值