【论文阅读笔记】Dynamic backdoor attacks against federated learning

已于 2023-07-12 11:14:51 修改
阅读量386 收藏 3
点赞数
分类专栏: 论文笔记 文章标签: 论文阅读 深度学习 人工智能
于 2023-05-11 17:33:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leticia_m/article/details/130625572
版权
文章提出了动态后门攻击的新方法,通过将元学习应用于后门攻击,创建共生网络,增强恶意模型的持久性和隐蔽性。这种方法允许攻击者在不显著影响主任务性能的情况下,动态调整后门任务。实验表明,这种攻击策略能更快地适应新任务,同时保持后门效果。
摘要由CSDN通过智能技术生成

个人阅读笔记,如有错误欢迎指出

arXiv 2020 [2011.07429] Dynamic backdoor attacks against federated learning (arxiv.org)

问题:

        目前现有的研究主要集中在静态后门攻击上,即注入的毒模式不变,然而,FL是一个在线学习框架,并且对抗性目标可以由攻击者动态改变,传统算法需要从头开始学习一个新的目标任务,这可能在计算上很耗时,并且需要大量的对抗性训练示例。

创新:

        将元学习与后门攻击联系起来

        为恶意攻击者提出了一种新的训练架构,称为共生网络,这种策略可以使后门攻击相对于对抗性后门攻击更持久。

方法:

恶意客户端的共生网络

原因:在动态后门攻击设置下,攻击者注入与以前的数据分布完全不同的新训练样本,用全局模型代替局部模型可能会降低模型性能。

参数

        L_{class}代表在主任务以及目标任务上的准确率

        L_{dist}​计算本地模型与全局模型的距离,实现隐蔽性

        p为平衡L_{class}​以及L_{dist}的一个因子

        恶意客户端目标函数修改如下:L = (1-p) \cdot L_{class} + p \cdot L_{dist}

        以往的平衡因子p是手动设置的,不灵活,很容易偏离或停留在局部最优点。这篇采用全局模型在后门数据上的准确度来决定,动态权衡优化后门效果和隐蔽性。

动态后门攻击

        目的:利用之前的经验快速适应新的任务,取得一个初始化参数\theta^*,使得模型快速收敛。如下图,(a)显示正常FL需要从头开始学习新任务,并采取许多SGD步骤来收敛;(b)利用了以前的经验,使得初始模型参数\theta^*更接近每个任务的最佳参数\theta, 只有几个SGD步骤可以保证收敛

        方法:全局模型需要学习一个广泛适用于所有任务而不是单个任务的内部特征。通过最小化采样任务的总损失来实现这一目标:

        其中,\theta_i^*为使得模拟在主任务以及目标后门任务达到最高准确率的参数,通过以下方程求出:

        上述优化存在二阶导数难以求解。为求解上述目标参数,目标是学习一个广泛适用于所有任务的内部特征,即全局模型参数需要接近每个任务的最优参数,使用欧氏距离作为距离度量得到以下方程:

        利用元学习Reptile的思路进一步求解,通过这个方法也可以将二阶导数转换为了一阶导,公式如下:

其中,\Vert T_{sub} \Vert代表本轮任务的总数,也是更新的步长

        为了使得攻击更加持久、稳健,使用了放大策略,在执行模型聚合时,恶意模型的权重将按更大的因子放大,且因子不影响梯度方向,方程得到如下修改:

算法描述:

客户端:

服务器端:

实验:

        实验设置:在Episode1中,先在六个投毒客户端中训练模型,随后使用此经验数据在Episode2中进行另一个任务的投毒,加快模型收敛。

        每个恶意客户端后门如下:

        精度、持久性

        (a)(b)(c)显示共生网络得到的p值在大多数情况下比手动设置p值在后门的准确率上较高,且随着训练轮数增加有时能够保持

        (d)(e)(f)显示攻击基本上没有影响主任务上的准确性

        收敛速度

        在 episode 1中为恶意客户端使用了初始投毒,将新的嵌入文本“KDD”注入到客户端的本地图像中𝐶1,并在 episode 2中使用它作为我们新的中毒数据集。

        以联邦平均为标准,基于元学习的方法在几轮后优于联邦学习并且达到相同的效果需要更少的轮数

总结

优点:

        将元学习的概念引入到服务器端的采样,将优化二阶导数的目标转化成了一阶导

        在攻击效果和隐蔽性之间做了动态的权衡

局限性:

        同时改变了客户端和服务器的训练策略,对攻击方的要求较高

        只是全局和恶意之间距离做了约束而非相似度,没有很好的解决联邦学习里的遗忘问题

        实验部分不够充分,没有在sota评估在防御上的效果

        L_{dist}计算全局和恶意之间的欧式距离相当于也是对梯度的角度做了约束,可能不能很好的攻击基于统计的防御方法

_Mia_
关注
专栏目录
input-aware-backdoor-attack-release:输入感知的动态后门攻击(NeurIPS 2020)
05-02
目录 输入感知的动态后门攻击 输入感知的动态后门攻击是一种通用的后门攻击方法,它打破了当前后门防御方法的一般假设:后门触发器的通用性和唯一性。 这是PyTorch中NeurIPS 2020论文“ 的实现。 培训和评估代码。 本文使用的防御实验。 图像正则化测试。 如果您发现此代码对您的研究有用,请引用我们的论文: @article{nguyen2020inputaware, title={Input-Aware Dynamic Backdoor Attack}, author={Nguyen, Anh and Tran, Anh}, booktitle={Proceedings of Advances in Neural Information Processing Systems}, year={2020} } 要求 安装所需的python软件包 $ pip
后门攻击阅读笔记,Input-aware dynamic backdoor attack
weixin_43999137的博客
10-06 2589
论文标题:Input-aware dynamic backdoor attack 论文单位:VinAI Research, Hanoi University of Science and Technology, VinUniversity 论文作者:Tuan Anh Nguyen, Tuan Anh Tran 收录会议:NIPS2020 开源代码:https://github.com/VinAIResearch/input-aware-backdoor-attack-release 输入感知的动态的后门攻击
后门防御阅读笔记,Neural Cleanse Identifying and Mitigating Backdoor Attacks in Neural Networks
weixin_43999137的博客
10-18 2216
论文标题:Neural Cleanse Identifying and Mitigating Backdoor Attacks in Neural Networks 论文单位:UC Santa Barbara,University of Chicago 论文作者:Bolun Wang, Yuanshun Yao,Shawn Shan 收录会议:2019 IEEE Symposium on Security and Privacy (S&P) 开源代码:https://github.com/bolun
对抗机器学习论文-BackdoorBench: A Comprehensive Benchmark of Backdoor Learning
m0_57572083的博客
10-17 1160
对抗机器学习论文-BackdoorBench: A Comprehensive Benchmark of Backdoor Learning
READ-2303 Defending against Backdoors in Federated Learning with Robust Learning Rate
m0_51638853的博客
02-24 440
RLR的关键思想是根据客户端更新的符号信息调整聚合服务器的每维度和每轮学习率。同时RLR背后的洞察力也与non-i.i.d.环境中有关,即使在没有对手的情况下也是如此。因为,本地分布的差异可能会导致来自不同的更新,从而将模型引向损失面上的不同方向。作为未来的工作,作者计划分析RLR如何影响在不同non-i.i.d.设置下训练的模型的性能。
backdoor_federated_learning:论文“如何进行后门联合学习”的源代码(https-Source code learning
03-25
backdoor_federated_learning 此代码包括论文“如何进行后门联合学习”的实验( ) 所有实验均使用Python 3.7和PyTorch 1.0完成。 mkdir saved_models python training.py --params utils/params.yaml 我鼓励与...
Exploring Backdoor Attacks on DRL-based TCC system
03-19
这篇论文——"Stop-and-Go: Exploring Backdoor Attacks on Deep Reinforcement Learning-based Traffic Congestion Control Systems"揭示了DRL模型在交通管理中的潜在风险,即可能受到后门攻击(Backdoor Attack)...
wso2.5.1.rar_Everything and More_backdoor
09-22
WSO is a PHP shell backdoor that provide an interface for various remote operations. It can perform everything from remote code execution, bruteforcing of servers, provide server information, and more...
builtin_hack_backdoor_
09-30
backdoor for netgear routers. Can use to hack everyone
论文阅读】DBA: DISTRIBUTED BACKDOOR ATTACKS AGAINST FEDERATED LEARNING
qq_56483157的博客
10-17 628
后门攻击旨在通过注入对抗性触发器来操纵训练数据的子集以便在被篡改的数据集上训练的机器学习模型将在嵌入相同触发器的测试集上做出任意(有针对性的)错误预测。背景:联邦学习 (FL) 的分布式学习方法和各方固有的异构数据分布可能会带来新的漏洞。相对于集中后门攻击(每一方在训练期间嵌入相同的全局触发器),作者提出了分布式后门攻击 (DBA)——这是一种通过充分利用 FL 的分布式特性开发的一种新颖的威胁评估框架。DBA。
《DBA: DISTRIBUTED BACKDOOR ATTACKS AGAINST FEDERATED LEARNING阅读笔记
Yale的博客
01-20 2908
DBA: DISTRIBUTED BACKDOOR ATTACKS AGAINST FEDERATED LEARNING ** 本文发在ICLR 2020,针对联邦学习进行的后门攻击。其提出的方案针对传统的针对FL的攻击而言更隐蔽、持续、也更有效。** Abstract 联邦学习可以聚和由不同参与方提供的信息来训练得到一个更好的模型,它分布式学习的特点导致其存在一个内生问题:不同参与方提供的各种各样的数据可能会带来新的漏洞。 除了最近针对联邦学习的中心化的后门攻击(在训练期间每一方都嵌入一个全局trigge
(翻译)DBA: DISTRIBUTED BACKDOOR ATTACKS AGAINST FEDERATED LEARNING
11-27 1337
(翻译)DBA: DISTRIBUTED BACKDOOR ATTACKS AGAINST FEDERATED LEARNING
深度学习后门攻防综述
Yale的博客
05-25 1万+
0x00 后门这个词我们在传统软件安全中见得很多了,在Wikipedia上的定义[1]为绕过软件的安全性控制,从比较隐秘的通道获取对程序或系统访问权的黑客方法。在软件开发时,设置后门可以方便修改和测试程序中的缺陷。但如果后门被其他人知道(可以是泄密或者被探测到后门),或是在发布软件之前没有去除后门,那么它就对计算机系统安全造成了威胁。 那么相应地,在深度学习系统中也存在后门这一说法,这一领域由Gu等人2017年发表的BadNets[2]和Liu等人2017年发表的TrojanNN[3]开辟,目前是深度学习
浅谈深度学习模型中的后门
XP and Altoria
03-21 3063
关于深度学习安全方面,粗浅地可以分为两大块:对抗样本(Adversarial Example)以及后门(Backdoor) 关于对抗样本可以查看我之前的文章 ----对抗样本攻击 这一次我们主要关注深度学习里面的后门攻击。所谓后门,那就是一个隐藏着的,不轻易就被发现的一个通道。在某些特殊情况下,这个通道就会显露出来。 那么在深度学习之中,后门又是怎样的呢?我这里不妨以图像分类任务作为一个例子,我们手里有一张狗的照片,通过分类器,以99%的置信度(confidence)被分类为狗。如若我在这张图像上添加一个图
论文阅读笔记】NeurIPS2020文章列表Part1
热门推荐
zincrain的博客
12-09 2万+
A graph similarity for deep learning An Unsupervised Information-Theoretic Perceptual Quality Metric Self-Supervised MultiModal Versatile Networks Benchmarking Deep Inverse Models over time, and the Neural-Adjoint method Off-Policy Evaluation and Learning.
2020年 ICLR 国际会议最终接受论文(poster-paper)列表(四)
yinizhilianlove的博客
02-21 2万+
来源:AINLPer微信公众号(点击了解一下吧) 编辑: ShuYini 校稿: ShuYini 时间: 2020-02-21     2020年的ICLR会议将于今年的4月26日-4月30日在Millennium Hall, Addis Ababa ETHIOPIA(埃塞俄比亚首都亚的斯亚贝巴 千禧大厅)举行。     2020年ICLR会议(Eighth International Con...
论文阅读:3D Gaussian Splatting for Real-Time Radiance Field Rendering
最新发布
qq_53589322的博客
09-11 1103
本工作首先基于SFM的点云设计了能快速精确表达场景的3D高斯函数,并以此开发了可由CUDA加速的渲染算法,实现了辐射场的实时渲染。本论文的核心在于3D高斯函数的场景表达方式以及快速渲染的方法。该方法整体如下图所示:首先从SFM得到的稀疏点云构建三维高斯函数,在训练过程中通过可微的快速渲染器对3D高斯函数的属性进行优化,并交替进行自适应密度控制。提出一个实时且能够高质量渲染场景的方法,通过结合离散和连续表示方法的优势,不仅克服了传统方法在噪声和渲染质量方面的限制,而且极大地提高了渲染速度。
[论文笔记]LLM.int8(): 8-bit Matrix Multiplication for Transformers at Scale
日积月累,天道酬勤
09-07 1342
⭐ 作者开发了一个两部分量化程序LLM.int8()。首先使用向量级量化,对矩阵乘法中的每个内积使用单独的归一化常数,从而对大多数特征进行量化。然而,对于突现的异常值(outlier),还包括了一种新的混合精度分解方案,将异常特征维度隔离到16位矩阵乘法中,同时仍然有99.9%以上的值在8位中进行乘法运算。
论文阅读《Robust Steganography for High Quality Images》高质量因子图片的鲁棒隐写
2301_81845359的博客
09-09 1020
用于高质量图像的鲁棒自适应隐写术方法;精细抖动机制
how to backdoor federated learning
03-16
如何在联邦学习中设置后门? 在联邦学习中设置后门需要进行以下步骤: 1. 选择一个合适的后门类型,例如模型篡改、数据篡改或模型恶意更新等。 2. 选择一个合适的攻击方式,例如通过恶意节点或者恶意客户端进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值