个人阅读笔记,如有错误欢迎指出
会议:2024 NDSS 2024-1366-paper.pdf (ndss-symposium.org)
问题:
过滤的方法可以不降低分类精度实现防御,但容易遭受对抗适应性攻击
“适应性对手”的研究有所欠缺
创新
解决了how to backdoor in FL一文中的局限性(对抗参数的手动优化)
利用增广拉格朗日优化技术的自适应方法
消除了对最优优化超参数的手动搜索
提出了多个不等式约束,允许在防御度量中适应有效值范围
相关知识
拉格朗日优化
目的:将有约束条件的函数最优化问题通过拉格朗日函数转化为无条件的函数最优化问题
构造拉格朗日函数,求解偏导数等于0所形成的方程组,确定满足目标函数和约束条件的变量和乘子的值
增广拉格朗日
计算机没有直接的基于梯度的方法来查找拉格朗日乘子,因此采用增广拉格朗日
与惩罚的方法相比,增加了第二个惩罚项来防止惩罚参数\rho_kρk\rho_kρk无穷大
目的:保证\rho_kρk\rho_kρk再可接受范围内甚至固定的情况下计算出最优解
Karush-Kuhn-Tucker (KKT)条件
扩展了拉格朗日乘数的使用
方法
整体流程:1)对手训练良性模型 2)获得防御使用的每个指标的值 3)根据良心模型的最大最小值形成范围 4)对手首先进行固定的无约束后门训练 5)根据步骤3中的范围约束初始化增广拉格朗日优化方法 6)当所有约束条件均被满足则对手终止训练并向服务器提交训练参数
增广拉格朗日优化方法
选择一个初始值,并在连续的优化中逐渐增加值。(该方法允许在优化过程中逐步调整值,使模型能够适应并达到期望的值)。
为了防止向无穷发散,使用增广拉格朗日替换惩罚方法来满足等式约束。引入参数附加惩罚项模拟拉格朗日乘子,避免趋近于无穷大以获得最优解的需要。甚至可以固定为一个特定的足够大的值,以支配整个函数并保证凸性。然而确切的值不是一个敏感参数,也没有引入新的超参数,基于当前解的约束违反更新。
当扩大图3框4中所示的表达式以考虑不等式约束时,应该事先当约束满足(负)时惩罚函数不影响优化,通过重新表述不等式约束作为松弛的变量的等式约束实现。这样就可以像标准增广拉格朗日方法那样处理不等式约束,但代价是需要优化一个额外的变量s。利用s在增广拉格朗日范围内的特殊而简单的结构,可以解析地求出变量s的最小值。这样,就可以从增广拉格朗日量中消去s,从而得到图3框5所示的公式。
为了适应多个不等式约束,引入一个求和项,并为每个约束分配单个变量,如图3框6所示。该方法等价于不等式约束的增广拉格朗日方法,保证了该方法的最优收敛性。
利用良性客户端训练模型的最大最小值实现两个不等式约束,但这两条约束容易出现相互竞争。因此在满足约束时手动将设为0
实验
有无自适应调整模型的余弦相似度度量
防御可能会逐层检查模型。因此调整了ResNet-18模型的所有层,使其与良性值范围对齐
纳入多个防御度量指标对攻击无影响。
与SOTA相比更全面
收敛与可用性
运行时间