【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

_Mia_

已于 2023-06-14 10:48:06 修改

阅读量3.3k

点赞数 22

分类专栏：论文笔记文章标签：论文阅读笔记机器学习人工智能

于 2023-06-14 10:38:40 首次发布

本文链接：https://blog.csdn.net/leticia_m/article/details/131193517

版权

论文笔记专栏收录该内容

32 篇文章

订阅专栏

该文研究了针对拜占庭鲁棒联邦学习的模型攻击，提出了针对不同防御策略的攻击方法，如Krum、Trimmedmean。通过优化问题设计，攻击者在训练阶段操纵本地模型，影响全局模型。同时，文章探讨了基于错误率和损失函数的防御策略，并发现这些防御方法并不能完全抵挡攻击，且可能导致错误率增加。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

个人阅读笔记，如有错误欢迎指出！

会议： Usenix 2020 [1911.11815] Local Model Poisoning Attacks to Byzantine-Robust Federated Learning (arxiv.org)

问题：

模型攻击对拜占庭鲁棒性联邦学习的攻击效果尚未清楚

创新点：

1、基于不同防御方法，设计了具有针对性的模型攻击方式

2、概括了基于错误率以及基于损失函数的防御方法，测试了两种防御方法的效果。

方法：

攻击场景：training phase中对基于本地训练数据的模型在训练过程中进行攻击

攻击者的要求：控制部分参与模型中的训练参数

本地模型攻击：

主要挑战：如何将被攻击的本地模型进行改造并发送至服务器

方法：对投毒后的本地模型进行约束，转化为每轮中的优化问题

定义优化：

定义一个方向量，1表示当前梯度增加，-1表示当前梯度减小，其次定义攻击前的梯度与攻击后的梯度，那么优化问题的实质就是，使得攻击后的梯度与攻击前的梯度差别尽量大。

$\textbf{w}$ 为未受到攻击时的模型， $\textbf{w}'_1$ 为攻击后的模型， $s$ 为所有模型参数变化方向的列向量

攻击Krum

Krum原理是选择相近的模型作为全局模型，则可以约束使其他的本地模型都接近被攻击模型，从而达到使Krum选择攻击模型作为全局模型的目的

场景：full knowledge

优化问题的约束是高度非线性的，并且局部模型的搜索空间很大。为了求解需要做两个近似

对 $\textbf{w}'_1$ 约束为： $\textbf{w}_1' = \textbf{w}_{Re} - \lambda \textbf{s}$ ，其中 $\textbf{w}_{Re}$ 为当前训练轮数中从聚合器收到的全局模型， $\lambda > 0$ 。具体描述了投毒模型与全局模型的差距。

令被控制的c-1个模型尽可能的接近，则 $\textbf{w}'_1$ 只需要攻击模型与 $m-2c-1$ 良性模型的距离最小就会使其被Krum选中

优化目标如下：选取最大的 $\lambda$ 值；使Krum选中攻击模型；攻击模型满足全局模型(previous)的距离约束；被控制的c-1个模型近似于攻击模型

上述优化问题的目标函数如下，其中 $s^T(w-w_{Re})$ 为常数， $s^Ts=d$ $d$ 是模型参数个数，因此优化问题即为对 $\lambda$ 的优化

对于求解 $\lambda$ ，首先定义其上界：

给定上界后，则可用二进制搜索寻找最优 $\lambda$ ，先使用此上界求解模型 $\textbf{w}'_1$ ′的值，若没有被Krum选中，则将 $\lambda$ 减半继续。

场景：partial knowledge

攻击者不知道良性设备上的数据及模型以及模型改变的方向

方法：基于被攻击客户端的模型模拟良好设备的本地模型。

计算被攻击前的模型的均值

使用平均模型估计模型的变化方向：若收到的全局模型的参数大于本地模型的参数，则变化方向为1，否则为-1，定义 $\overline{\textbf{s}}$ 估计为变化方向向量。

以被攻击前的本地模型视为良性客户端的本地模型，以此构建模型。

优化问题化简如下：如同上述方法求解模型，若最终结果仍不合适则添加另一个构建的模型进行求解。

攻击Trimmed mean

场景：full knowledge

$\text w_{m a x, j}$ 为这一轮中良性模型中的第j个模型参数中的最大值， $\text w_{min, j}$ 为最小值

如果 $\textbf{s}_j = -1$ ，则选取大于 $\text w_{m a x, j}$ 的参数 $c$ 作为c个受损工作设备上的第 $j$ 个局部模型参数，否则选取任一小于 $\text w_{min, j}$ 的数作为构建的模型参数。为避免被检测为异常值， $c$ 需要尽量接近 $\text w_{min, j}$ ，即 $c$ 取值范围为 $[\text w_{max.j},b \cdot \text w_{mim,j}]$ 、 $[\text w_{min, j} / b, \text w_{min, j}]$ 中。实验中 $b$ 取值为2。

场景：partial knowledge

同样，以被攻击前的模型作为良性客户端的模型以估计模型的变化方向

以被攻击前的模型作为良性客户端的模型估计 $\text w_{min, j}$ 以及 $\text w_{m a x, j}$ 值。具体方法为计算均值以及标准差，并以作为高斯分布的参数， $\text w_{m a x, j}$ 估计为 $d$ 大于 $\mu_j+3 \sigma_j$ 或者 $\mu_j+4 \sigma_j$ ， $\text w_{min, j}$ 估计为大于 $\mu_j-3 \sigma_j$ 或者 $\mu_j-4 \sigma_j$ 。