【论文阅读笔记】Analyzing Federated Learning through an Adversarial Lens

最新推荐文章于 2024-08-08 21:44:51 发布
最新推荐文章于 2024-08-08 21:44:51 发布
阅读量913 收藏 2
点赞数 4
分类专栏: 论文笔记 文章标签: 论文阅读 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leticia_m/article/details/131510396
版权

个人阅读笔记,如有错误欢迎指出

ICML 2019        [1811.12470] Analyzing Federated Learning through an Adversarial Lens (arxiv.org)

问题:

        传统模型攻击容易被服务器通过精度检测以及权重分析检测出来,本文意在找到一种投毒方法绕过服务器的检测。

创新点:

        1、提出了一个攻击的评价指标-隐蔽性。主要在于精度上以及权重分布上。

        2、提出了以交替最小化公式的攻击方式,以实现攻击的同时尽可能逃过服务器的检测。

实验:

        数据集为IID数据

方法:

        攻击目标:主任务上尽可能减小影响,后门上实现高精度,并且能够绕过服务器检测。

        隐蔽性评价指标:

        1、精度检查:服务器在收到更新后,将每个模型更新获取到的新模型\textbf{w}_i^t = \textbf{w}_G^{t-1} + \delta_i^t​与其他所有模型更新得到的模型\textbf{w}_{G\backslash i}^t = \textbf{w}_G^{t-1} + \sum_i \delta_i^t在精度上进行比较,若低于阈值则服务器判定为攻击者。攻击者为求能够绕过此种防御,必须满足如下:

        2、权重更新分布:以当前模型更新与去掉当前模型的其他模型的距离最小值

        min_{i \in[k] \backslash m} d(\delta_m^t, \delta_i^t)以及最大值max_{i \in[k] \backslash m} d(\delta_m^t, \delta_i^t),计算其他模型的距离最小值R_{min,[k \backslash m]}^l最大值R_{max,[k \backslash m]}^l为上下界,距离最大临界为\kappa _t。攻击者需满足以下要求以绕过检测:

攻击方式:

        1、梯度放大:

        恶意的训练方首先必须克服其余正常训练方梯度更新的影响以及服务器聚合模型梯度时,对梯度更新缩放的影响,需要对更新的梯度进行放大。攻击者估计聚合器的更新为\hat{\textbf{w}}_G^t = \textbf{w}_G^{t-1}+\alpha_m \delta_m^t​,则定义\lambda = \frac{1}{\alpha_m},提交的更新为\delta_m^t = \lambda \widetilde\delta_m^t,随后服务器的更新则变为了\hat{\textbf{w}}_G^t = \textbf{w}_m^t,本轮更新之后的全局模型的估计值等于恶意训练方的本地模型(模型替换)。

        效果:第三轮后主任务以及后门任务的准确率都较高

        攻击缺陷:易于被以下检测手段捕获

        ①精度检测中远低于全局模型

        ②恶意更新的L2距离分布更稀疏范围也更小,也更尖锐

隐形模型中毒:

        1、针对精度损失问题:为了保证攻击方模型在验证集上也有较高的准确度,攻击方在进行本地模型训练的过程中,添加了基于本地正常数据的训练损失函数:

        2、针对距离度量问题:限制模型与其他模型的平均模型的欧式距离

实验结果

1、使用隐形模型中毒的攻击方在精确度检测中更难被检测到

2、隐形模型中毒的攻击方的权重更新分布与正常训练方的权重更新分布较为接近

恶意攻击模型的l2距离与其他良性模型的距离较为接近

交替最小化攻击

流程:

        1、从当前的模型参数,最小化攻击目标,训练得到一个梯度更新。

        2、利用simple boosting的思想对梯度进行增强,与当前的模型参数相加得到中间步骤的模型参数。

        3、从所得到的中间步骤的模型参数开始,最小化之前提到的两个隐形目标,最终得到一个新的模型

效果:

        1、可以绕过准确性检查方法,因为恶意模型验证数据的准确性接近全局模型。

        2、这种攻击的传播距离与良性更新的传播距离非常接近,甚至完全重叠,从而实现了两种属性的完全隐形

对拜占庭聚合机制的攻击效果:

        Krum以及Coordinate-wise median:攻击机制对两种聚合方式都有效

使用目标后门的模型投毒使得Krum不收敛

在恶意客户端学习的本地模型也具有高验证精度的交替最小化是无效的

        通过估计提高攻击性能

        攻击者对其余良性客户端的更新\delta_{[k]\backslash m}^t = \sum_{i \in[k] \backslash m} \alpha_i \delta_i^t进行估计

        估计方法为:攻击者假定自从上一次被选中后所有良性更新都相同,即\hat \delta_{[k] \backslash m}^t = \frac{\textbf{w}_G^t - \textbf{w}_G^{t'} -\delta_m^{t'}}{t-t'},当 连续被选中时,则\hat \delta_{[k] \backslash m}^t = \hat \delta_{[k] \backslash m}^{t-1}​。

                1、优化后修正:计算出权重更新后减去一个\lambda \hat \delta_{[k]\backslash m}^t,若估计值等于实际值\hat\delta_{[k]\backslash m}^t = \delta_{[k]\backslash m}^t\lambda = \frac{1}{\alpha_m}​,则这就能抵消其余更新的贡献

                2、优化前修正:攻击者从\textbf{w}_G^{t-1} + \hat \delta_{[k] \backslash m} ^t开始计算出更新的权重,而不是从\textbf{w}_G^{t-1}​。

        使用效果:使用具有优化后修正的攻击在实现对抗性目标方面更有效。使用优化后校正是无效的,导致攻击成功率较低,并影响全局模型收敛。

        数据投毒不进行缩放攻击效果有限,进行缩放时影响全局任务的精度,整体而言数据投毒效果比模型投毒差

        在一些对模型的解释技术中观测中分不清良性模型以及具有后门的恶意后门的模型的区别。

        在多攻击者的实验中会对模型的全局准确率造成影响,但是能够保证模型收敛。

        当训练的客户端较多时,并不能保证每次都被选中,但整体上攻击有效,性能稍差。

_Mia_
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
联邦学习模型投毒 - Analyzing Federated Learning through an Adversarial Lens
weixin_44944722的博客
04-13 761
【博主前言】:这是联邦学习模型投毒攻击的代表著作,结合了这篇文章的代码,博主以大白话的形式将算法的过程描述出来。通过重温经典,系统归纳联邦学习投毒攻击
【Mo 人工智能技术博客】联邦学习鲁棒性及相关论文分享
Mo 的博客
12-15 2545
【技术博客】联邦学习鲁棒性及相关论文分享 叶寅 1 背景知识 联邦学习系统比较容易受到各种错误的影响。这些错误包括一些非恶意性错误(比如预处理流程中的漏洞、噪音过强的训练标签和不可靠的用户),还包括一些旨在破坏系统训练过程和部署流程的显式攻击。这些非恶意性错误和显式攻击的影响,都可能会使系统的鲁棒性难以实现。这里我们主要讨论后者,也就是显示攻击:破坏联邦学习鲁棒性的攻击方,试图以一种对模型不利的方式修改来模型行为。根据攻击目标的不同,可以分为:1、无目标攻击,这类攻击的目标是降低模型的全局精度或全面“摧毁”
联邦学习模型鲁棒性攻击
m0_50609661的博客
04-28 5039
【2019arXiv】Advances and Open Problems in Federated Learning 1.攻击者的目标和能力 目标: 1)非目标攻击:旨在降低模型的全局准确性,或“完全破坏”全局模型; 2)目标攻击(后门攻击):其目的是在少数示例上改变模型的行为,同时在所有其他示例上保持良好的总体准确性。例如,在图片中加入水印(后门),此水印指向一个特定的分类,使某类图片分类错误;语义后门,攻击者的模型更新迫使训练有素的模型在一小部分数据上学习错误的映射。例如,对手可能会迫使模
边缘智能相关论文(Edge Intelligence & Federated Learning)
威化饼的一隅
12-09 4178
边缘智能相关论文Federated Learning PreliminaryFast InferenceModel Compression Federated Learning Preliminary Privacy-Preserving Deep Learning,CCS, 2015 文中提出了Distributed Selective SGD,许多联邦学习文章都会引用该论文。 Communi...
IBM与微众银行联合举办联邦学习研讨会
FedAI联邦学习的博客
02-07 632
纽约当地时间2月6日,IBM与微众银行在IBM T.J.Watson研究中心总部联合举办联邦学习研讨会(Workshop on Federated Learning and Analytics,FL-IBM’20)。为期一天的研讨会聚集了包括IBM副总裁Bijan Davari院士、微众银行首席人工智能官杨强教授、欧洲人工智能领军人物Boi Faltings教授等百位来自IBM、Google、微众...
数据不动模型动-联邦学习的通俗理解与概述
我爱计算机视觉
03-01 1285
关注公众号,发现CV技术之美联邦学习是一种机器学习设定,其中许多客户端(例如:移动设备或整个组织)在中央服务器(例如:服务提供商)的协调下共同训练模型,同时保持训练数据的去中心化及分散性。...
Inverse elastographic method for analyzing the ocular lens compression test
02-22
The ocular lens stifiens dramatically with age, resulting in a loss of function. However, the mechanism of stifiening remains unknown, at least in part due to di±culties in making reliable ...
Manifold Learning for Visualizing and Analyzing High-Dimensional Data
02-21
Manifold Learning for Visualizing and Analyzing High-Dimensional Data
论文Analyzing Popular Clustering Algorithms from Different Viewpoints》
07-07
### 论文Analyzing Popular Clustering Algorithms from Different Viewpoints》关键知识点解析 #### 摘要概述 本文献分析了数据挖掘领域中几种流行的聚类算法,并从三个不同的角度进行了深入探讨:聚类标准、...
Machine Learning Projects with TensorFlow 2.0:Supercharge your Machine Learning
05-02
23 Refinements with Federated Learning Reinforcement Learning Task – How to Become Best at Pacman 24 Introduction to Reinforcement Learning 25 OpenAI Gym Environments 26 The Pacman Gym Environment ...
论文笔记】4D Millimeter-Wave Radar in Autonomous Driving: A Survey
weixin_45657478的博客
08-04 938
自动驾驶中的4D毫米波雷达综述
论文阅读】MobileNetV4 - Universal Models for the Mobile Ecosystem
最新发布
qq_42591591的博客
08-08 684
我们介绍了最新一代的 MobileNets,即 MobileNetV4(MNv4),其特点是针对移动设备的通用高效架构设计。在其核心部分,我们引入了通用反向瓶颈(UIB)搜索块,这是一种统一而灵活的结构,融合了反向瓶颈(IB)、ConvNext、前馈网络(FFN)和一种新颖的 Extra Depthwise(ExtraDW)变体。除了 UIB,我们还提出了移动 MQA,这是一个专为移动加速器定制的注意力模块,可显著提高 39% 的速度。
《RT-DETR》论文笔记
Zssss12的博客
08-08 1002
YOLO系列因其速度和准确性之间的合理权衡而成为实时目标检测最流行的框架。然而,我们观察到 YOLO 的速度和准确性受到 NMS 的负面影响。最近,端到端基于变压器的检测器 (DETR) 提供了一种消除 NMS 的替代方案。然而,高计算成本限制了它们的实用性,阻碍了它们充分利用排除NMS的优势。在本文中,我们提出了实时检测转换器(RT-DETR),据我们所知,这是解决上述困境的第一个实时端到端对象检测器。我们分两步。
【弱监督时间动作定位】ACGNet: Action Complement Graph Network for WSTAL 论文阅读
weixin_44609958的博客
08-06 997
在未剪辑视频中进行弱监督时序动作定位 (WTAL) 已成为一项实用但具有挑战性的任务,因为只提供视频级标签。现有的方法通常利用现成的片段级特征,这些特征存在空间不完整性和时间不连贯性,从而限制了它们的性能。在本文中,我们通过增强片段级表示的一个简单而有效的图卷积网络,即动作补全图网络 (ACGNet),从一个新的角度解决这个问题。它使当前视频片段能够感知来自其他片段的空间-时间依赖性,这些片段可能传递互补线索,从而隐式减轻上述两个问题带来的负面影响。
【实时建图】MapTR(1)------ 论文详解
m0_51579041的博客
08-06 112
MapTR论文解读
论文笔记: 视频关键帧抽取相关工作
有问题请直接说问题就好
08-06 834
我们主要来看一篇2020年的综述文章Keyframe Extraction Techniques: A Review(https://elektrika.utm.my/index.php/ELEKTRIKA_Journal/article/download/221/136),该工作中系统总结了视频关键帧抽取部分的常用流程和方法。随着最近Sora文生视频的火热,视频相关的数据获得逐渐变得重要起来。这也就涉及到提取视频关键帧的问题。而有对应关键帧的视频数据集则少之又少。: 提取得到的keyframes数目。
论文阅读】Fourier Spectrum Discrepancies in Deep Network Generated Images
sinat_39223177的博客
08-07 96
在图像高频模式下分析,发现深度网络在最高频率下生成的图像的傅里叶模式不会像在真实图像中看到的那样衰减,而是保持近似恒定。真实图像显示出较大的衰减率和幅度范围,而深度网络生成图像显示出较小的衰减率,且幅度随生成模型的不同而变化。这些差异在更高的分辨率下更明显,但有损图像压缩算法修改了高频光谱并减小了这些差异。当高度压缩时,某些架构生成的图像在频域上与真实图像无法区分,但由VAEs等其他架构生成的图像由于其低水平的高频内容而不受影响。注:仅供学习交流。
A Bioinformatic Algorithm for Analyzing Cell Signaling Using Temporal Proteomic Data论文的缺点
02-28
很遗憾,我无法找到您提到的特定论文的详细信息,因此无法提供其具体缺点的详细信息。但是,我可以概括一些可能存在的缺点,这些缺点可能与许多生物信息学算法或研究方法相关。 1. 数据采集的限制:该算法所使用的数据可能存在采集方法、质量或量不足等方面的限制。这些因素可能导致结果的偏差或不准确性。 2. 误差传播:在算法执行期间,任何计算或处理步骤中的误差都可能在后续步骤中被放大或传播,从而导致结果的不准确性。 3. 算法参数选择:许多生物信息学算法具有需要手动选择的参数,这些参数的不同值可能会对结果产生不同的影响。算法的开发者可能会选择的参数值可能会导致某些偏差或不准确性。 4. 数据的解释:即使算法生成了结果,但这些结果可能需要进一步的解释和解读。结果的解释和解读可能需要基础生物学知识和领域专业知识,这可能会导致解释的不一致性或误解。 5. 算法的适用性:某些算法可能针对特定类型的数据或问题进行优化,可能无法适用于其他类型的数据或问题。因此,在使用算法之前,必须确保该算法适用于您的具体问题或数据集。 6. 未被发现的限制:与任何新的技术或方法一样,可能存在一些缺点或限制,这些缺点或限制可能尚未被发现或报告。这些限制可能会在后续的研究中得到发现和解决,但这些限制可能会影响算法的准确性和应用性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值