【论文阅读笔记】Coordinated Backdoor Attacks against Federated Learning with Model-Dependent Triggers

已于 2023-04-18 18:57:25 修改
阅读量276 收藏 2
点赞数
分类专栏: 论文笔记 文章标签: 论文阅读 笔记
于 2023-04-18 18:10:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leticia_m/article/details/130227967
版权

个人阅读笔记,如有错误欢迎指正!

期刊:IEEE Network 2022 Coordinated Backdoor Attacks against Federated Learning with Model-Dependent Triggers | IEEE Journals & Magazine | IEEE Xplore

问题:

        单个后门触发的效果很容易在训练过程中被良性更新所稀释,从而降低攻击效果

        依赖模型的触发器不与驯良过程关联,其后门攻击尤其是在联邦场景下容易被稀释

        依赖模型的触发器(即基于攻击者的本地模型生成的触发器)与随机触发器相比更为隐蔽

创新

        使用多个本地后门触发器来针对联合学习后门攻击

方法

从服务器接收的全局模型生成依赖于模型的局部触发器来协调攻击,而非类似DBA的随机触发器。每个局部触发器迭代调整,以激励对输入高度敏感且对目标输出有较大影响的神经元。

触发器:触发器是优化得来的,开始是一个白色的长方形,然后目标是让某一个激活层(个人认为是最后一层激活层)里的某一个神经元比重最大,反复迭代得到一个触发器图。

形状:矩形。位置:放在图像角落。大小:局部触发器的像素列

步骤:

        构建了一个空的mask作为初始触发器,触发器生成的过程相当于寻求mask的最优值分配。(可学习的trigger?)

        选择单个神经元来影响触发器的生成,以避免降低模型的主任务精度

        将投毒样本输入模型,记录所选层中每个神经元的激活次数。选择激活次数和权重之和最大的神经元进入下一步。

        选定木马神经元,搜索mask中输入变量的值分配,以便使所选神经元能够达到最大值(即生成触发器的过程)。本文中选定的神经元为攻击的目标输出所对应的神经元。

        对于给定所选神经元,使用梯度下降来通过最小化代价函数来缩小其当前值和目标值之间的差。目标值是所选层中的最高神经元值。

        如果所选神经元的值已经是给定层中的最高值,则继续增加其值,直到收敛或迭代次数达到极限。触发器是在最后一轮迭代中从mask区域中提取的。

协作后门注入

        攻击者生成本地触发器后,本地训练数据集将基于该触发器中毒

        使用生成的触发器进行数据投毒,将原始样本和中毒样本都添加到恶意客户端的训练集中

        恶意客户端使用训练集进行本地训练,并约束攻击

        在推理阶段,攻击者可以使用其本地触发器或组合的全局触发器来触发嵌入全局模型中的后门

实验

多轮恶意客户端

单次攻击

拜占庭攻击

_Mia_
关注
专栏目录
DBA: Distributed Backdoor Attacks against Federated Learning论文笔记
m0_45171384的博客
12-30 852
提出一种分布式后门攻击(Distributed Backdoor Attacks)—— 一种充分利用联邦学习的分布式特性而开发的攻击。DBA在不同数据集上对联邦学习攻击的持久性、隐蔽性和攻击成功率都高于集中式后门攻击。
READ-2324 Coordinated Backdoor Attacks against Federated Learning with Model-Dependent Triggers
m0_51638853的博客
03-14 214
本文提出一种与模型相关的后门生成方法,通过调整后门的分配值,使得嵌入后门更容易激发选定的神经元,从而达到更有效的攻击。在本文的实验中,并没有看出对隐蔽性和攻击性的权衡效果,可以使用聚类或降维相关的异常检测进行防御实验。
(翻译)DBA: DISTRIBUTED BACKDOOR ATTACKS AGAINST FEDERATED LEARNING
11-27 1333
(翻译)DBA: DISTRIBUTED BACKDOOR ATTACKS AGAINST FEDERATED LEARNING
《DBA: DISTRIBUTED BACKDOOR ATTACKS AGAINST FEDERATED LEARNING阅读笔记
Yale的博客
01-20 2905
DBA: DISTRIBUTED BACKDOOR ATTACKS AGAINST FEDERATED LEARNING ** 本文发在ICLR 2020,针对联邦学习进行的后门攻击。其提出的方案针对传统的针对FL的攻击而言更隐蔽、持续、也更有效。** Abstract 联邦学习可以聚和由不同参与方提供的信息来训练得到一个更好的模型,它分布式学习的特点导致其存在一个内生问题:不同参与方提供的各种各样的数据可能会带来新的漏洞。 除了最近针对联邦学习的中心化的后门攻击(在训练期间每一方都嵌入一个全局trigge
论文合集】Awesome Backdoor Learning
m0_61899108的博客
05-19 2645
关于后门攻击&防御的博客与论文
论文笔记】Transformer-based deep imitation learning for dual-arm robot manipulation
m0_48948682的博客
10-23 1202
问题:In a dual-arm manipulation setup, the increased number of state dimensions caused by the additional robot manipulators causes distractions and results in poor performance of the neural networks.深度模仿学习在解决简单的灵巧操作问题很好,但是双臂维度上升时难度就很大。
[阅读笔记] 联邦学习攻防综述 An Overview of Federated Deep Learning Privacy Attacks and Defensive Strategies
有关我的科研的足迹、算法竞赛的日子、生活记录。
01-06 3008
本文提供了一个目前来说比较完善的联邦学习攻防相关的综述性文章。 本文对攻击方法、防御方法进行分类整理。 联邦学习目前不能被应用到市场的一个原因就在于我们并不能确保联邦学习的安全性,在未来研究联邦学习工作上不可避免地要引用本文及本文延伸的文献资料。
Coordinated Tracking for Data-Sampled Multi-Agent Systems With Markovian Switching Topologies
02-09
本文主要探讨了在采样数据环境下具有马尔可夫切换拓扑结构的多智能体系统的协同跟踪问题。研究假设智能体之间的交互拓扑结构受马尔可夫链控制,且领导者的状态是时变的。文章提供了跟踪误差系统有界性的必要充分条件...
A Text Sentiment Classification Modeling Method Based on Coordinated CNN-LSTM-Attention Model
02-08
To solve this problem, we proposed a Coordinated CNNLSTM-Attention(CCLA) model. We learned the vector representations of sentence with CCLA unit. Semantic and emotional information of sentences and ...
论文阅读 - Coordinated Activity Modulates the Behavior and Emotions ofOrganic Users
qq_40671063的博客
09-06 1063
社交媒体已成为全球危机期间迅速传播信息的重要渠道。然而,这也为恶意行为者操纵叙事铺平了道路。本研究深入探讨了加沙冲突期间 Twitter 上协调(恶意)实体与有机(普通)用户之间的互动动态。通过分析来自 130 多万用户的约 350 万条推文,我们的研究发现,协同用户对信息格局产生了重大影响,成功地在网络上传播了他们的内容:他们的信息有相当一部分被普通用户采纳和分享。此外,研究还记录了有机用户对协同内容的参与度逐渐增加,与此同时,他们在随后的交流中也明显转向了情感上更加极化的表达方式。
[论文笔记] LLM大模型剪枝篇——2、剪枝总体方案
心宝的博客
09-06 275
2、对前N%冗余层,直接删除full layer。N=20(N:剪枝崩溃临界点,LLaMA2在45%,Mistral-7B在35%,Qwen在20%,Phi-2在25%)对后(P-N)%冗余层,删除attention layer。1、基于BI分数选择P%的冗余层,P=60~80。1、定向结构化剪枝:最优子结构。根据剪枝后效果决定是否修复训练。剪枝目标:1.5B —> 100~600M。
VIT论文阅读
bliblisukabulie的博客
09-09 1054
卷积神经网络不是必备的,一个纯transformer表现也是非常好的2500天tpu v3大规模上预训练,小规模任务数据集上微调。扩大模型时候还没观察到瓶颈(还没出现过拟合)?轴注意力机制:把2d的图片注意力分成从H和从W出发两个1d的注意力机制将224x224的图片根据16x16的patch划分成为14x14,使用特征图展开成1d来进行attention操作在不加强约束的情况下,transformer效果是比Resnet差的,因为少了归纳偏置1是本地偏置,相近的特征会相邻;
GS-SLAM论文阅读笔记--LoopSplat
qq_45795134的博客
09-06 791
基于3D高斯Splats (3DGS)的SLAM最近显示出更精确、更密集的3D场景地图的前景,现有的基于3dgs的方法无法通过回环或全局BAY优化来解决场景的全局一致性。现有的方法可以分为解耦和耦合两类,其中解耦方法不利用稠密地图进行跟踪任务,而耦合方法使用稠密地图进行帧到模型的跟踪。解耦映射和跟踪通常会在系统中产生不必要的冗余,例如低效的信息共享和增加的计算开销。另一方面,所有耦合的3DGS SLAM方法都缺乏在地图和姿态上实现全局一致性的策略,导致姿态误差的积累和地图的扭曲。
GS-SLAM论文阅读笔记--MM-Gaussian
qq_45795134的博客
09-10 1227
传统的SLAM方法往往受到地图表示的限制,如点云,surfel和voxel,它们只能以固定的分辨率重建地图。这一限制阻碍了对场景复杂纹理的捕捉,并阻碍了SLAM实现合成新视点等功能.此外,户外场景由于其无界特性,带来的挑战呈现出特别的复杂性。现存方法通常是基于RGB-D或单目相机。单目相机中深度数据的缺失会导致三维高斯分布的不准确。同时,RGB-D相机捕获的深度信息范围有限,使其在广阔的户外场景中的使用变得复杂。
论文笔记:基于LLM和多轮学习的漫画零样本角色识别与说话人预测
最新发布
zly_Always_be的博客
09-12 1011
论文笔记:基于LLM和多轮学习的漫画零样本角色识别与说话人预测
Moco论文阅读笔记
bliblisukabulie的博客
09-09 1025
把对比学习砍成一个字典查询的任务。动态字典两部分组成,一个是队列,一个是移动平均的编码器,让字典里特征尽可能一致。Moco学到的特征能够很好迁移到下游任务。(最大的卖点)
基于协调CNN-LSTM-注意力模型的情感文本分类
“A Text Sentiment Classification Modeling Method Based on Coordinated CNN-LSTM-Attention Model”描述了一种利用协调的卷积神经网络(CNN)、长短期记忆网络(LSTM)和注意力机制(Attention)进行文本情感...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值