【论文阅读笔记】Curse or Redemption? How Data Heterogeneity Affects the Robustness of Federated Learning

已于 2023-05-12 14:34:26 修改
阅读量133 收藏 1
点赞数 1
分类专栏: 论文笔记 文章标签: 论文阅读 笔记 安全 深度学习 人工智能
于 2023-05-12 14:34:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leticia_m/article/details/130641747
版权

个人阅读笔记,如有错误欢迎指出

会议:AAAI 2021 (PDF) Curse or Redemption? How Data Heterogeneity Affects the Robustness of Federated Learning (researchgate.net)

问题:

        数据异质性是联邦学习中后门攻击是都有效的主要因素,数据异质性如何影响攻击效果。

创新点:

        从数据异质性入手,研究其对防御后门攻击以及对提高后门攻击有效性的手段。通过实验证明数据异质性是FL中攻击有效性的主要因素。

异质性数据对后门防御的影响;

        1:当训练数据的异质性增加时,攻击有效性(通常以攻击成功率或ASR来衡量)急剧降低。

        2:鉴于训练数据是异构的,在定义攻击策略时,恶意数据分布是一个被忽视的重要因素。恶意数据分布选择不当会导致攻击效果不佳。

        3:进一步发现恶意数据分发是后门有效性的主要因素。与现有工作中的普遍观点相反,即更高的攻击规模(定义为受损客户端的数量)和本地攻击预算(定义为每个客户端的后门数据量)总是会导致更高的进攻有效性,我们的研究表明,情况并非总是如此,因为恶意数据分发往往优于攻击规模/预算的影响。

异质性数据对攻击的影响:

        1:数据异构性使得客户端训练对后门攻击时机非常敏感。通过适当的攻击时机,例如在最后一次本地批处理时,只需一小部分攻击预算就可以显著提高攻击的有效性。

        2:数据异质性使基于偏斜特征的防御策略(如余弦相似性)无法实现。这种防御方法通过意识到受损客户端的特征比良性客户端更过拟合来检测受损客户端。然而,由于数据的异构性,良性客户端也可能具有与受损客户端相似的过度拟合功能。这使得后门攻击者能够伪装自己,欺骗扭曲的功能检查。

        3:借助分布距离测量,如卡方统计,使后门客户端的数据分布接近整体数据分布,可以得出更有效的攻击策略。为了抵御数据异质性带来的这些诅咒,讨论了现有的防御机制是如何适应的,以及数据异质性感知防御策略的潜在方向。

实验设置:

        数据集以及模型设置:

        数据异质性衡量标准:客户端上的数据种类越少,数据异质性越大

        c为该客户端的数据含有的类别数

        c_{max}为该数据集含有的总的类别数

        Attack Success Rate (ASR)用以衡量攻击有效性

实验结果:

数据异质性对防御后门攻击的有利影响:

        1、数据异质性越大,平均的攻击效果越差,且攻击的稳定性下降。由于数据异质性越大,不同客户端的模型之间的特征偏差越大,以至于可能出现过拟合,从而抑制后门特征。

        2、恶意数据分布是影响后门攻击效果的重要因素

        实验中数据异质性程度相同,恶意客户端使用不同的数据分布,上图中的数据一条为恶意客户端的一种数据分布

        不同的分布得到的ASR差别会很大,这种行为可以解释为后门触发的有效性取决于训练数据分布和恶意数据分布之间的特征空间差异。

        恶意数据分布的不当选择可能导致较差的攻击有效性,这使得攻击者在设计攻击数据集时增添了难度。

        3、与攻击规模、攻击总预算的重要性对比

        高的攻击规模和总攻击预算并不意味着高攻击效果,这是个反直觉的结果,被忽视的恶意数据分布实际上是FL后门攻击的主要因素。

        通过设置分布实现的恶意攻击的效果难以预测,也使得攻击者难以设计出高效的攻击策略。

数据异质性对设计后门攻击的有利影响:

        1、攻击时间影响

        攻击时间在后几轮时,攻击效果越强,即使规模下降,效果仍较强

        异质性提高,均匀攻击效果下降,而在后几轮的集中攻击中效果基本不变

        2、较高的异质性导致基于Skewed-Feature的防御策略失败

        较高的数据异质性导致良性客户端中的权重不相似性较多。良性数据中如此高的数据权重不相似性甚至可能高于后门数据的不相似性,这使得恶意数据能够在基于Skewed-Feature的防御下与良性数据难以区分。

        3、恶意数据分布影响,恶意数据分布和整体训练数据分布之间的分布距离与攻击有效性密切相关

        以卡方距离为例,回归曲线表明ASR和卡方距离之间具有良好的相关性,并且当卡方距离较小时,点更加聚集。

        较低的卡方距离攻击实现了更好的ASR,甚至可以优于具有较高预算但也具有较高卡方距离的攻击

防御由数据异质性带来的攻击

        1、在聚合过程中避免过度拟合的权重更新,设计的一种手段为聚合器假设所有客户端都是恶意的,聚合器维护全局但较小IID数据集,以在聚合之前训练所有参与客户端的更新权重。因此,由于后门触发导致的过拟合被最小化。结果ASR显著降低。

        2、多样化客户端的选择,避免在相近的轮数中选中相同的客户端,这样即使局部模型被后门触发器过拟合,过拟合的局部模型权重累积到全局模型的机会也较小。

        3、保护全局数据的分布,在实验中伪装全局数据分布使得攻击数据与实际的数据分布的卡方距离有较大偏差,进一步使得ASR大幅降低。还可以尝试破坏全球数据分布,例如在聚合器中保留额外的数据,或者通过类似GAN的数据匿名化,这可以用来设计更稳健的聚合方法。

总结

        是否可以将针对边缘数据的攻击看作是极端异质性情况呢

_Mia_
关注
专栏目录
大型语言模型(LLMs)的后门攻击和防御技术
声纹感知 洞察芯声
06-12 2040
后门攻击是一种针对机器学习模型的恶意攻击方式,旨在在模型中植入隐蔽的恶意代码,使攻击者能够通过特定的触发器操控模型的输出。对于大型语言模型(LLMs)而言,后门攻击是一个潜在的安全威胁,需要引起重视。
大模型的“弱转强”越狱攻击:挑战与防御
人工智能讲师分享前沿技术
07-27 1225
人工智能咨询培训老师叶梓 转载标明出处大模型(LLMs)在各种应用中展现出了惊人的能力,但同时也引发了安全和可信度方面的担忧。如果没有适当的防护措施,LLMs可能会传播虚假信息或助长犯罪活动。为了减少这些风险,模型创建者实施了安全措施并通过强化学习等手段来优化模型,以确保每次发布时的安全性。然而,即使是最精心设计的安全防护措施也可能无法完全防止恶意滥用。最近的研究显示,即使是看似有帮助的模型,也可能通过有针对性的操作被“越狱”。
对抗攻击中的常用评价指标
路有瑶台的博客
04-17 2426
asr 是衡量分类器鲁棒性的重要指标之一,因为它可以告诉我们分类器在遭受特定攻击时的容错能力,即攻击者多大的概率可以获得正确的结果。对于攻击者来说,asr 越高就越容易实施攻击,而对于分类器的开发者来说,asr 越低就代表分类器的鲁棒性越强。需要注意的是,asr 并不能完全反映分类器的鲁棒性,因为在现实生活中,攻击者通常会使用更加隐蔽和复杂的攻击方式,例如黑盒攻击、迁移攻击等。与其它指标相比,nq 更注重攻击后的置信度变化,它的值越大表示对抗攻击对分类器效果越大,分类器对对抗样本的鲁棒性也就越差。
TURNING THE CURSE OF HETEROGENEITY IN FEDERATED LEARNING INTO A BLESSING FOR OUT-OFDISTRIBUTION DETE
qq_43845774的博客
03-20 129
ICLR2023
【个性化联邦学习】Towards Personalized Federated Learning 论文笔记整理
weixin_44270151的博客
10-21 6153
尝试记录一下最近看的论文,顺便当个笔记同步了。这篇是个性化联邦学习的综述,Towards Personalized Federated Learning
论文阅读--Q-Transformer: Scalable Offline Reinforcement Learning via Autoregressive Q-Functions
hzlalb的博客
04-22 1002
通过离散每个动作维度并将每个动作维度的Q值表示为单独的token,我们可以将有效的高容量序列建模技术应用于Q学习。的最后一步才有奖励。虽然这种设置对于广泛的偶发机器人操纵问题是合理的,但它并不具有普遍性,我们希望 Q-Transformer 在未来也能扩展到更广泛的环境中。我们的自回归Q学习更新背后的直觉是将每个动作的维度本质上视为一个单独的时间步长。解决这种问题的一种方法就是通过低估分布外的动作的Q值,从而确保最大值动作是分布内的。在我们的工作中,我们考虑稀疏奖励的任务,奖励只有0,1,并且仅在。
学习笔记 | Threats to Federated Learning-A Survey
freya0112的博客
03-24 549
摘要 文章意图让研究者意识到联邦学习中隐私保护的重要性,并对攻击进行分类: poisoning attacks投毒攻击 inference attacks推断攻击 引言 联邦学习的分类 horizontally federated learning (HFL):数据有相同的特征但用户不同。数据集往往很小,所以一个数据被反复训练的概率是很低的,它计算能力有限、技术能力较低。 vertically federated learning (VFL):数据有部分重叠,但特征空
≪统计学习精要(The Elements of Statistical Learning)≫课堂笔记(一)
xiaopihaierletian的博客
08-20 722
在准备找工作阶段,借由巩固总结之前所学,恰好碰到这样一本书,简略看一下,顺便做个总结: 前两天微博上转出来的,复旦计算机学院的吴立德吴老师在开?统计学习精要(The Elements of Statistical Learning)?这门课,还在张江...大牛的课怎能错过,果断请假去蹭课...为了减轻心理压力,还拉了一帮同事一起去听,eBay浩浩荡荡的十几人杀过去好不壮观!总感觉我们的人
深度强化学习综述论文 A Brief Survey of Deep Reinforcement Learning
白水的博客
01-28 7003
A Brief Survey of Deep Reinforcement Learning 深度强化学习的简要概述 作者: Kai Arulkumaran, Marc Peter Deisenroth, Miles Brundage, Anil Anthony Bharath 文章目录摘要 Abstract1. 引言 Introduction2. 奖励驱动行为 Reward-Driven Behavior2.1. 马尔科夫决策过程 Markov Decision Processes2.2. 强化学习的挑
The Challenges of Clustering High Dimensional Data
08-15
“The Challenges of Clustering High Dimensional Data” 是一篇探讨在高维数据环境中进行聚类分析所面临挑战的研究论文。随着数据维度的增加,传统的聚类方法在处理这些数据时遇到了许多独特的困难和问题。以下是...
The-Curse-of-Israphel
03-07
首先,"The-Curse-of-Israphel"可能是一个Java项目,可能是一个游戏、应用程序或者一个特定功能的实现。这个名字富有神秘色彩,暗示了项目可能包含了一些复杂的逻辑或独特的设计。在Java开发中,源码组织通常遵循MVC...
论文阅读笔记】NeurIPS2020文章列表Part1
热门推荐
zincrain的博客
12-09 2万+
A graph similarity for deep learning An Unsupervised Information-Theoretic Perceptual Quality Metric Self-Supervised MultiModal Versatile Networks Benchmarking Deep Inverse Models over time, and the Neural-Adjoint method Off-Policy Evaluation and Learning.
论文阅读:3D Gaussian Splatting for Real-Time Radiance Field Rendering
qq_53589322的博客
09-11 1103
本工作首先基于SFM的点云设计了能快速精确表达场景的3D高斯函数,并以此开发了可由CUDA加速的渲染算法,实现了辐射场的实时渲染。本论文的核心在于3D高斯函数的场景表达方式以及快速渲染的方法。该方法整体如下图所示:首先从SFM得到的稀疏点云构建三维高斯函数,在训练过程中通过可微的快速渲染器对3D高斯函数的属性进行优化,并交替进行自适应密度控制。提出一个实时且能够高质量渲染场景的方法,通过结合离散和连续表示方法的优势,不仅克服了传统方法在噪声和渲染质量方面的限制,而且极大地提高了渲染速度。
[论文笔记]LLM.int8(): 8-bit Matrix Multiplication for Transformers at Scale
日积月累,天道酬勤
09-07 1342
⭐ 作者开发了一个两部分量化程序LLM.int8()。首先使用向量级量化,对矩阵乘法中的每个内积使用单独的归一化常数,从而对大多数特征进行量化。然而,对于突现的异常值(outlier),还包括了一种新的混合精度分解方案,将异常特征维度隔离到16位矩阵乘法中,同时仍然有99.9%以上的值在8位中进行乘法运算。
论文阅读Robust Steganography for High Quality Images》高质量因子图片的鲁棒隐写
2301_81845359的博客
09-09 1020
用于高质量图像的鲁棒自适应隐写术方法;精细抖动机制
ACL 2024:交叉领域情感分析——论文阅读笔记
最新发布
weixin_62472350的博客
09-11 1197
阅读了一篇ABSA的论文,在这里写下自己的一些理解小笔记,可能有点小乱,原文在这下面: 论文链接:Refining and Synthesis: A Simple yet Effective Data Augmentation Framework for Cross-Domain Aspect-based Sentiment Analysis - ACL Anthology 中文文章链接:论文速递丨ACL 2024:交叉领域情感分析 (qq.com) 大多数ABS
论文阅读:RGBD GS-ICP SLAM
qq_53589322的博客
09-11 987
文章提出了RGBD GS-ICP-SLAM,这是一种利用三维高斯表示进行高保真度空间表示的密集表示SLAM系统。作者证明了利用单一三维高斯地图进行跟踪和建图的G-ICP和3DGS的融合可以产生相互的好处。跟踪和建图过程之间的高斯交换与尺度对齐最小化了冗余计算并构建了一个高效的系统。此外,动态关键帧选择方法提高了跟踪和建图性能。通过广泛的实验,所提出的方法在空间表示、相机位姿估计和总系统速度方面呈现出最先进的性能。
高维数据归一化网格空间下的相似度测量提升方法
本文主要探讨了高维数据处理中的一个关键挑战——维数诅咒,即随着数据维度的增加,传统的相似度测量方法性能急剧下降的问题。由于高维空间中稀疏维度和噪声维度的存在,这些因素导致相似度计算时容易受到干扰,使得...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值