【论文阅读笔记】Attack of the Tails: Yes, You Really Can Backdoor Federated

最新推荐文章于 2024-07-11 08:29:34 发布
最新推荐文章于 2024-07-11 08:29:34 发布
阅读量568 收藏 2
点赞数
分类专栏: 论文笔记 文章标签: 论文阅读 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leticia_m/article/details/130199511
版权

个人阅读笔记,如有错误欢迎指正!

期刊:NeurlPS 2020 [2007.05084] Attack of the Tails: Yes, You Really Can Backdoor Federated Learning (arxiv.org)

问题:

已有很多关于联邦后门防御的方法,探索联邦学习是否真正具有鲁棒性。

创新:

证明了后门攻击在联邦学习中难以防御

如果一个模型容易受到输入扰动形式的推理时间攻击(即对抗性样本),那么它将容易受到训练时间后门攻击。此外,模型扰动后门的范数由(基于实例的)常数乘以对抗样本的扰动范数的上界(如果存在的话)决定。

1 后门检测是np难问题; 2边缘样本攻击难以被基于梯度的检测技术发现。

边缘样本后门迫使模型对看似简单的输入进行错误分类,这些输入难以成为训练或测试数据的一部分,即它们位于输入分布的尾部

方法:

数据中毒:在攻击者的数据集中插入干净和后门数据点的混合;后门数据点以特定类为目标,并使用首选目标标签

模型中毒:采用类似但算法不同的方法,训练具有投影梯度下降(PGD)的模型,在每一轮FL中,攻击者的模型不会显著偏离全局模型

p-edge-case example定义

主体方法

黑盒攻击

        为p-edge-case数据中注入后门,以一定的比例混合DD_{edge}实现攻击

PGD攻击(梯度下降攻击

        对手使用梯度下降。为了抵御防御(某一客户端运行梯度下降的算法过长,被服务器检测异常对其进行范数裁剪防御),对手周期性地将模型参数投影到以上一次迭代的全局模型中心的球上(以w为中心,\delta为半径)

        设定攻击预算\delta,使||w-w_i||\leq \delta,则可保证对手发送的任何模型w_i都不会被基于范数的防御机制检测到

模型替代的PGD攻击

        结合上步与模型替代攻击策略

        其中模型参数在发送到服务器之前进行缩放,以抵消来良性节点的贡献。假设存在一恶意客户端i,用\frac{n_s}{n_{i'}}(w_{i'}-w)+w代替其原本模型w_{i'}。缩放因子\frac{n_s}{n_{i'}}​​用来控制||w-w_i||\leq \delta

构建由DD_{edge}混合而成的p-edge-case example数据集,其中长尾部分大于干净数据集

构建p-edge-case example数据集方法:假设对手有一组候选的边缘样本和一些良性样本,向DNN提供良性样本,并收集倒数第二层的输出向量。通过拟合簇数量等于类数量的高斯混合模型来得到一个生成模型,攻击方可以用它评估任何给定样本的概率密度,并在需要时过滤掉。

在实验设置和附录中详细寻找了一下该论文构造边缘后门数据集的方法,发现并未使用到正文中提到的生成模型,而还是基于常规的后门数据的收集和标签反转策略。

后门存在难以被检测证明

本文还提供了关于所提出的后门边缘数据难以被检测的证明,详细过程请参照正文

实验

结果表明,黑盒和PGD边例攻击都是有效的,并且持续时间长。在所有经过测试的SOTA防御下,PGD边缘情况攻击尤其具有高持久性,且部分严格防御边缘后门的情况会导致良性的客户端的数据被排除。

攻击的准确性

不同攻击者数与不同攻击频率结果

与SOTA防御方法对比

针对边缘攻击的防御方法可能存在的公平性问题:Krum和Multi-Krum中可信客户端的模型可能也被排除,弱DP噪声引起精度下降。

任务1中Krum防御和无防御对比

总结:本文实际上采用的后门攻击方法与常规方法类似,只不过将后门数据集换成了分布中的长尾数据,即本文提出的边缘数据。提供了一个很好的切入点,并且整篇文章论述下来也非常的丝滑。如果作者能对正文中提到的生成模型进行详细的描述和实验,相信能有更好的效果。

 

_Mia_
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
精读笔记 - Attack of the Tails: Yes, You Really Can Backdoor Federated Learning
weixin_44944722的博客
06-15 860
【博主前言】:本篇博客分模块理清edge-case backdoor算法基本流程,包括edge-case构造方法,基于PGD思想的恶意迭代更新。同时围绕着实验部分,学习其分析问题与验证问题的思路
tails:飞行中的模型!
05-04
注意:Tails仍在大量开发中,其API可能仍会在各处更改。 Tails是Backbone之上的一层,可以非常轻松地在前端管理模型。 它消除了加载和链接相关模型的问题,使您可以专注于Web应用程序的重要部分。 Tails旨在与...
NeurIPS 2020论文推荐丨Attack of the Tails:利用联邦学习
AI_Conf的博客
12-24 1062
论文名称:Attack of the Tails: Yes, You Really Can Backdoor Federated Learning 论文链接:https://www.aminer.cn/pub/5f0c26af91e0115455a34adb/?conf=neurips2020 推荐理由:由于其分散的本质,联邦学习(Federated Learning)在训练过程中容易受到后门形式的对抗性攻击。后门的目标是破坏训练后的模型在特定子任务上的性能(例如,通过将绿色汽车分类为青蛙)。相关文献中介绍
论文 ❀《尾部攻击:是的,你真的可以后门联邦学习》-Attack of the Tails: Yes, You Really Can Backdoor Federated Learning
imomoe的博客
08-17 924
后门 联邦学习 PGD
联邦学习论文整理
weixin_43773486的博客
01-14 1939
部分联邦论文整理-仅供参考-附其他人的整理工作-持续更新..
【全文翻译】Can You Really Backdoor Federated Learning?
weixin_43682519的博客
10-22 1575
联邦学习的分散性质使检测和防御对抗攻击成为一项艰巨的任务。 本文重点介绍了联邦学习环境中的后门攻击,在这种情况下,对手的目标是降低模型在目标任务上的性能,同时在主要任务上保持良好的性能。与现有作品不同,我们允许非恶意客户从目标任务中正确标记样品。 我们对EMNIST数据集(真实的,用户分区的和非idid数据集)的后门攻击和防御进行了全面研究。 我们观察到,在没有防御的情况下,攻击的执行很大程度上取决于现有对手的比例和目标任务的“复杂性”。 此外,我们证明了规范限制和“弱”的差异性隐私可以减轻攻击而不会损害整
CCF A类会议或期刊----近两年联邦学习相关论文
Thincor的博客
03-24 4071
会议/期刊 论文 neurips2020 Lower Bounds and Optimal Algorithms for Personalized Federated Learning. neurips2020 Ensemble Distillation for Robust Model Fusion in Federated Learning. neurips2020 Personalized Federated Learning with Theoretical Guarante....
Tails:一个小的mod,增加了各种各样的尾巴
05-27
尾巴 一个小的mod,增加了各种各样的尾巴 构建和设置 标准构建的任务会产生阴影和非阴影版本,与非阴影具有nonshaded分类之前,它可以建立然而,工作区必须设置。 工作空间 要为一般开发设置工作区,请运行gradle ...
ffxiv-wondrous-tails:《最终幻想XIV》中奇妙尾巴的预测网格
02-15
FFXIV神奇的尾巴助手一个主题UI,可帮助在《最终幻想XIV》中对奇妙的尾巴进行三行组合和预测。 自动构建和部署: : 发展该项目正在进行中。 未来的计划包括: 1、2和3行的预测百分比随机值班该存储库不隶属于Square...
happy-tails:交互式RESTful API,用于跟踪庇护犬的日常活动
04-03
快乐的尾巴 交互式RESTful API,用于跟踪庇护犬的日常活动。 快乐尾巴参加者 Erika Salcedo电子邮件: Github:es2013 Shellie Nguyen电子邮件: Github:shellienguyen Alex Reveles电子邮件: Github:...
Homologous tails? Or tales of homology?
06-29
Homologous tails? Or tales of homology? Homologous tails? Or tales of homology? James D. McGhee Summary Classical mutations at the mouse Brachyury (T) locus were discovered because they lead to ...
In Search of Lost Online Test-time Adaptation: A Survey--论文笔记
dezwb的博客
07-08 989
本文介绍了在线测试时间适应(online test-time adaptation,OTTA)的全面调查,OTTA是一种专注于使机器学习模型适应批量到达时的新数据分布的新方法。尽管最近OTTA方法得到了广泛应用,但该领域仍陷入了诸如模糊设置、过时的主干网络和不一致的超参数调优等问题,这些问题混淆了真正的挑战,并使可重复性难以捉摸。为了清晰和严格的比较,我们将OTTA技术分为三个主要类别,并使用强大的视觉转换(ViT)主干对它们进行基准测试,以发现真正有效的策略。
论文阅读笔记】ASPS: Augmented Segment Anything Model for Polyp Segmentation
qq_46056318的博客
07-08 647
ASPS:用于息肉分割的扩展SAM模型2024年 arxivPaperCode息肉分割在结直肠癌诊断中起着至关重要的作用。最近,Segment Anything Model(SAM)的出现利用其在大规模数据集上的强大预训练能力,为息肉分割带来了前所未有的潜力。然而,由于自然图像和内窥镜图像之间的区域差距,SAM在实现有效的息肉分割方面遇到了两个限制。首先,它的基于变压器的结构优先考虑全局和低频信息,可能会忽略局部细节,并在学习的特征中引入偏差。
Efficient Estimation of Word Representations in Vector Space论文笔记解读
m0_52775136的博客
07-09 564
将输出层的单词表示为一个二叉树,其中每个叶子节点都表示一个单词。每个非叶子节点都表示两个子节点的内积,每个叶子节点都表示该单词的条件概率。对于给定的一对(中心单词,上下文单词),我们希望最大化它们的共现概率。最后输出V个概率,复杂度比较高,采用了2重方法降低复杂度,分别是层次softmax和负采样。Word2vec的向量表示能够自动捕捉到单词之间的语义和语法关系。舍弃多分类,把多分类转变成二分类问题(正样本和负样本)。用周围词预测中心词,求和的时候忽略了每个词的顺序。增大正样本的概率,减小负样本的概率。
[论文笔记]涨点近5%! 以内容中心的检索增强生成可扩展的级联框架:Pistis-RAG
最新发布
日积月累,天道酬勤
07-11 654
⭐ 作者提出了一个新颖的框架,以内容为中心。该框架包括不同的阶段:匹配、预排名、排名、多路径推理和聚合。其中包含了很多工程细节,值得参考。但没有看到总体耗时相关的描述以及整体代码,可能耗时会相对较长。
论文阅读 - Intriguing properties of neural networks
m0_52739647的博客
07-08 744
经典论文、对抗样本领域的开山之作发布时间:2014论文链接: https://arxiv.org/pdf/1312.6199.pdf作者:Christian Szegedy, Wojciech Zaremba, Ilya Sutskever, Joan Bruna, Dumitru Erhan, Ian Goodfellow, Rob Fergus写在前面:该文章已经发表10年了,该领域的发展十分迅速,本文中的一些观点可能并不准确。
论文阅读:Large Language Models for Education: A Survey and Outlook
CSPhD-winston的博客
07-08 1017
论文概述了LLMs在教育环境中的多种技术,包括学生和教师辅助、自适应学习和商业工具。系统回顾了每个视角下的技术进步,整理了相关数据集和基准测试,并识别了LLMs部署在教育中的相关风险和挑战。概述了未来的研究方向,强调了有前景的方向。
论文阅读|异步联邦】FedASMU重读
m0_46554918的博客
07-08 905
但如果所有用户都在训练的时候请求新的全局模型,如果是同时申请,这样的状况,本文相当于只在本地聚合时多加了按权分配的策略,缓解了模型陈旧。表示 RL 训练过程的学习率,L 表示本地 epoch 的最大次数,∫L 对应第 L 个本地 epoch 后发送请求(1) 或 不发送请求(0) 的决定,bt 是减少模型偏差的基值。o 为全局模型的版本,l 为局部 epoch 个数,ηi 为设备 i 上的学习率,∇Fi(·) 为基于 Di 中无偏采样的小批 ζl−1 的梯度。元模型和局部模型都会生成每个时隙的概率。
attack of the tails: yes, you really can backdoor federated learning
08-07
在“尾数攻击:是的,你真的可以后门联合学习”这个问题中,尾数攻击是指通过篡改联合学习模型中的尾部数据,来影响模型的训练结果以达到攻击的目的。 联合学习是一种保护用户隐私的分布式学习方法,它允许设备在不共享原始数据的情况下进行模型训练。然而,尾数攻击利用了这种机制的漏洞,通过对局部模型的微小篡改来迫使全局模型在联合学习过程中产生误差。 在尾数攻击中,攻击者可以修改尾部数据的标签、特征或权重,以改变训练模型。这可能导致全局模型在聚合本地模型时出现错误,从而得到错误的预测结果。攻击者可以利用这种攻击方式来干扰或扭曲联合学习任务的结果。 为了解决尾数攻击,可以采取以下措施: 1. 发现和识别攻击:通过监控和分析联合学习模型的训练过程,可以检测到异常的模型行为。例如,检查模型的准确性变化、每个本地模型的贡献以及全局模型与本地模型之间的差异。 2. 降低攻击影响:可以采用如去噪、增加数据量、增强模型鲁棒性等方法来减轻尾数攻击的影响。 3. 鉴别合法参与者:在联合学习任务中应对参与者进行身份认证和授权,并且限制恶意攻击者的参与。这样可以减少尾数攻击的潜在风险。 4. 加强安全机制:引入加密技术和鲁棒算法来保护联合学习过程中的数据和模型,防止未经授权的篡改。 综上所述,尾数攻击是一种可能出现在联合学习中的安全威胁。为了保护联合学习任务的安全性和可靠性,需要采取有效的措施来识别、减轻和预防尾数攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值