Can You Really Backdoor Federated Learning

最新推荐文章于 2024-10-13 21:11:07 发布
最新推荐文章于 2024-10-13 21:11:07 发布
阅读量1k 收藏 2
点赞数
文章标签: 人工智能 深度学习 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_45171384/article/details/127835545
版权
该研究关注联邦学习中难以检测的后门攻击问题,探讨了两种攻击方式:模型更新毒化攻击和无约束/规范有界后门攻击。同时,提出两种防御措施,即更新范数阈值和弱差分隐私,通过实验表明这些防御手段能有效抵御后门攻击,且对主要任务性能影响较小。研究强调了攻击者数量、后门任务数量对攻击效果的影响,并在EMNIST数据集上进行了实验验证。
摘要由CSDN通过智能技术生成

Can You Really Backdoor Federated Learning

**作者:**Ananda Theertha Suresh Brendan McMahan Peter Kairouz Ziteng Sun
**会议:**NeruIPS
**发表时间:**2019.12

背景:
联邦学习的分布式特征,特别是在使用安全聚合协议增强时,使得检测和防御后门攻击成为一项具有挑战性的任务。
而当前针对后门攻击的防御方法,要么需要仔细的检查训练数据,要么需要完全控制服务器上的训练过程,这在联邦学习的背景下很难实现。
本文证实了两种防御措施 更新范数边界和弱差分隐私,可以较为有效的防御联邦学习中的后门攻击,并通过多种对比实验,说明了攻击者的数量、后门任务的数量对攻击效果的影响。

方案:
**模型更新毒化攻击 Model Update Poisoning Attacks,**与《How to Backdoor Federated Learning》中提出的攻击方式类似。

全局模型更新方式:

在这里插入图片描述

攻击方案:

假设在第t轮只选择了用户1作为攻击者,攻击者通过发送下式达到攻击效果。
用w*作为我们的后门模型,根据w*倒推出∆w_t^1:
在这里插入图片描述
此时新获得的t+1轮全局模型为:
在这里插入图片描述

且当假设模型已经充分收敛时,k > 1的其他用户更新很小,那么模型的参数将被更新在w^*的一个小邻域内。
在这里插入图片描述

**3.攻击方式**
**无约束的增强后门攻击 Unconstrained boosted backdoor attack:**

如何获得一个后门模型w^*:
为了获得后门模型w^,我们假设攻击者拥有一组描述后门任务的集合D_mal和一组由真实分布得到的训练样本D_trn。
用参数集w_t作为初始化,用D_trn∪D_mal训练一个模型w^。这种攻击对模型的更新通常会更大,也更容易被检测到,作为一个基线任务

**规范有界后门攻击 Norm bounded backdoor attack:**
将无约束的增强后门攻击Unconstrained boosted backdoor attack进行规范裁剪:在每一轮中,模型在后门任务训练得到的模型更新都要小于M⁄β。因此模型更新在经过β的提升后,其规范由M约束。

4.防御措施:
Norm thresholding of updates 更新的规范阈值
由于提升攻击可能会产生比较大的更新,可以通过裁掉那些高于阈值M的更新参数使服务器忽略那些超过阈值M的更新。
攻击者的应对:
如果我们假设攻击者知道阈值M,因此攻击者总是可以在这个量级内返回恶意更新:
在这里插入图片描述
(Weak) differential privacy (弱)差分隐私
添加少量噪音,传统上为了获得合理的差分隐私而添加的噪声量是比较大的。因为我们的目标不是隐私,而是防止攻击,所以我们添加了少量的噪音,足以限制攻击的成功。
实验评估:

**数据集:**EMINIST数据集——3383个用户,每个用户大约有100张数字图像,
**后门任务:**将目标用户的“7”分类为“1” 。

**随机采样 vs 固定频率攻击。Random sampling vs. fixed frequency attacks.
**被损坏用户的比例。Fraction of corrupted users.****

ϵ表示攻击者的比例,每轮选取C·K=30个用户,进行模型更新:
固定频率攻击:攻击频率设置为与攻击者总数量成反比f=1/(ϵ·C·K),
攻击频率为1和1 / 10,每轮攻击一次和每10轮攻击一次。
随机取样攻击:每一轮的攻击者的数量为(0,min(ϵ·K,C·K)),
3383个用户里有113个被毒害的用户,每轮进行重新抽取。
在这里插入图片描述
在这里插入图片描述

固定频率攻击比随机抽样攻击更有效,此外,在固定频率攻击中,更容易看到攻击是否发生在特定的一轮。
后门任务的数量。Number of backdoor tasks.
在这里插入图片描述

拥有的后门任务越多,就越难达到在不影响主要任务的条件下,实现对目标的攻击。
更新的范数界限。Norm bound for the update.

**限制更新在某个范围内,**当选择3作为范数边界将成功地减轻攻击,而对主要任务的性能几乎没有影响。
在这里插入图片描述

Norm bounding可以作为当前后门攻击的有效防御。
弱差分隐私。Weak differential privacy
在这里插入图片描述
考虑在范数边界方法的基础上添加高斯噪声,添加高斯噪声也可以帮助减轻那些逃避了范数裁剪的后门攻击,而且不会对主要任务的准确率造成太大的影响。

总结:
证实了在没有防御的情况下。攻击的成功率依赖于攻击者的数量,换句话说需要大量的攻击者存在。范数约束极大的限制了后门攻击的成功率。
证实了后门任务的数量对后门任务的影响,呈负相关趋势。
提出了两种防御措施Norm bound for the update和weak differential privacy可以较为有效的防御在联邦学习中的后门攻击。

(模型:TensorFlow联邦框架中的联邦学习来训练一个五层卷积神经网络,两个卷积层、一个最大池化层和两个dense层。)

kooKievovo
关注
论文笔记 - Can You Really Backdoor Federated Learning?
weixin_44944722的博客
04-16 943
【博主前言】:本篇博客重点讨论影响联邦学习后门攻击性能的一些重要因素,并通过实验分别验证了其假设的可靠性。
backdoor_federated_learning:论文“如何进行后门联合学习”的源代码(https-Source code learning
03-25
backdoor_federated_learning 此代码包括论文“如何进行后门联合学习”的实验( ) 所有实验均使用Python 3.7和PyTorch 1.0完成。 mkdir saved_models python training.py --params utils/params.yaml 我鼓励与...
【全文翻译】Can You Really Backdoor Federated Learning?
weixin_43682519的博客
10-22 1664
联邦学习的分散性质使检测和防御对抗攻击成为一项艰巨的任务。 本文重点介绍了联邦学习环境中的后门攻击,在这种情况下,对手的目标是降低模型在目标任务上的性能,同时在主要任务上保持良好的性能。与现有作品不同,我们允许非恶意客户从目标任务中正确标记样品。 我们对EMNIST数据集(真实的,用户分区的和非idid数据集)的后门攻击和防御进行了全面研究。 我们观察到,在没有防御的情况下,攻击的执行很大程度上取决于现有对手的比例和目标任务的“复杂性”。 此外,我们证明了规范限制和“弱”的差异性隐私可以减轻攻击而不会损害整
论文 ❀《尾部攻击:是的,你真的可以后门联邦学习》-Attack of the Tails: Yes, You Really Can Backdoor Federated Learning
imomoe的博客
08-17 1024
后门 联邦学习 PGD
「隐语小课」LDP和CDP在联邦学习中对于隐私性以及鲁棒性的作用
m0_69580723的博客
05-06 1511
总结了针对FL的两个维度,即鲁棒性和隐私性的现有攻击以及防御手段,分析了分析LDP和CDP对于FL中的鲁棒性和隐私性的保护效果,其可行性的Intuition在于:LDP 是sample-level,CDP是participant-level,能够不同程度的降低‘poisonous data or gradients’在训练中的影响,同时能够提供不同程度的隐私保护。未来需要考虑将LDP、CDP和现有的防御手段进行结合,在提高鲁棒性和隐私性的同时,减少可用性的损失。
【翻译】How to Backdoor Federated Learning
Antrn
05-24 3189
联邦学习(Federated Learning)是一种新兴的人工智能基础技术,在 2016 年由谷歌最先提出,原本用于解决安卓手机终端用户在本地更新模型的问题,其设计目标是在保障大数据交换时的信息安全、保护终端数据和个人数据隐私、保证合法合规的前提下,在多参与方或多计算结点之间开展高效率的机器学习。其中,联邦学习可使用的机器学习算法不局限于神经网络,还包括随机森林等重要算法。联邦学习有望成为下一代人工智能协同算法和协作网络的基础。本文是来自arxiv2018的一篇论文,讲解如何后门攻击联邦学习。
builtin_hack_backdoor_
09-30
backdoor for netgear routers. Can use to hack everyone
Shells_shell_backdoor_ShellChecker_
10-02
BHH Shell Checker VULNERABILITY OF SITES
php backdoor
11-28
php backdoor, very good to use
边缘智能相关论文(Edge Intelligence & Federated Learning)
威化饼的一隅
12-09 4284
边缘智能相关论文Federated Learning PreliminaryFast InferenceModel Compression Federated Learning Preliminary Privacy-Preserving Deep Learning,CCS, 2015 文中提出了Distributed Selective SGD,许多联邦学习文章都会引用该论文。 Communi...
NeurIPS 2020论文推荐丨Attack of the Tails:利用联邦学习
AI_Conf的博客
12-24 1152
论文名称:Attack of the Tails: Yes, You Really Can Backdoor Federated Learning 论文链接:https://www.aminer.cn/pub/5f0c26af91e0115455a34adb/?conf=neurips2020 推荐理由:由于其分散的本质,联邦学习(Federated Learning)在训练过程中容易受到后门形式的对抗性攻击。后门的目标是破坏训练后的模型在特定子任务上的性能(例如,通过将绿色汽车分类为青蛙)。相关文献中介绍
对抗攻击样本范数:L0,L2,L∞
A_John 的博客
04-06 3977
1) L0范数 : 非0 元素的个数; 对抗样本 扰动的 非0元素的个数; 2) L2范数 : 各元素的 平方和再开方; 对抗样本 扰动的 各元素的平方和再开方,针对图像数据,L2范数越小表示对抗样本人眼越难识别; 3) L∞范数 : 各元素的 绝对值 的最大值; 对抗样本 扰动的 各元素的最大值; 4) 扰动 : Original + perturbation = Adversarial ...
人工智能学习之PaddleOCR快速上手】
Jiagym的博客
10-12 1088
在配置文件中,可以设置组建模型、优化器、损失函数、模型前后处理的参数,PaddleOCR从配置文件中读取到这些参数,进而组建出完整的训练流程,完成模型训练,在需要对模型进行优化的时,可以通过修改配置文件中的参数完成配置,使用简单且方便修改。而 L2 正则化中,添加正则化项的目的在于减少参数平方的总和。准确检测的标准是检测框与标注框的IOU大于某个阈值,正确识别的检测框中的文本与标注的文本相同。如果缺少带标注的数据,或者不想投入研发成本,建议直接调用开放的API,开放的API覆盖了目前比较常见的一些垂类。
线性判别器LDA
qq_52421831的博客
10-10 1208
LDA是一种有监督的降维方法,和它比较类似的是PCA(一种无监督的降维方法)
2 机器学习之基本术语
此博客内容主要是小可日常工作中的一些问题解决的记录整理而成
10-11 661
这组记录的集合称为一个“数据集”(data set),其中每条记录是关于一个事件或对象(这里是一个西瓜)的描述,称为一个“示例”(instance)或“样本”(sample)反映事件或对象在某方面的表现或性质的事项,例如“色泽”​“根蒂”​“敲声”​,称为“属性”(attribute)或“特征”(feature);xid)是d维样本空间中的一个向量,xi∈,其中xij是xi在第j个属性上的取值(例如上述第3个西瓜在第2个属性上的值是“硬挺”​)​,d称为样本xi的“维数”(dimensionality)。
论文及其创新点学习cvpr2022 On the Integration of Self-Attention and Convolution
qq_53536373的博客
10-13 348
论文创新点,将注意力机制 和卷积 相结合。
骨架提取(持续更新)
最新发布
xiongmaowangd的博客
10-13 545
骨架提取是图像处理或计算机视觉中的一种技术,用于从二值化图像中提取物体的中心线或轮廓,通常称为“骨架”或“细化图像”。这一技术主要用于简化形状表示,同时保留物体的拓扑结构。这里我们强调了,是对二值化图像中进行提取。
文本区域分割系统源码&数据集分享
lzmlzm89的博客
10-08 1383
数据集信息展示在现代计算机视觉领域,文本区域分割的研究日益受到重视,尤其是在处理文档图像和名片等场景时。为此,我们构建了一个名为“more2”的数据集,旨在为改进YOLOv8-seg模型提供丰富的训练素材,以提升其在文本区域分割任务中的表现。该数据集包含五个类别,具体包括“0”、“2”、“business-name-card”、“doc”和“wendang”,每个类别均具有独特的特征和应用场景,能够为模型的训练提供多样化的样本。
attack of the tails: yes, you really can backdoor federated learning
08-07
在“尾数攻击:是的,你真的可以后门联合学习”这个问题中,尾数攻击是指通过篡改联合学习模型中的尾部数据,来影响模型的训练结果以达到攻击的目的。 联合学习是一种保护用户隐私的分布式学习方法,它允许设备在不共享原始数据的情况下进行模型训练。然而,尾数攻击利用了这种机制的漏洞,通过对局部模型的微小篡改来迫使全局模型在联合学习过程中产生误差。 在尾数攻击中,攻击者可以修改尾部数据的标签、特征或权重,以改变训练模型。这可能导致全局模型在聚合本地模型时出现错误,从而得到错误的预测结果。攻击者可以利用这种攻击方式来干扰或扭曲联合学习任务的结果。 为了解决尾数攻击,可以采取以下措施: 1. 发现和识别攻击:通过监控和分析联合学习模型的训练过程,可以检测到异常的模型行为。例如,检查模型的准确性变化、每个本地模型的贡献以及全局模型与本地模型之间的差异。 2. 降低攻击影响:可以采用如去噪、增加数据量、增强模型鲁棒性等方法来减轻尾数攻击的影响。 3. 鉴别合法参与者:在联合学习任务中应对参与者进行身份认证和授权,并且限制恶意攻击者的参与。这样可以减少尾数攻击的潜在风险。 4. 加强安全机制:引入加密技术和鲁棒算法来保护联合学习过程中的数据和模型,防止未经授权的篡改。 综上所述,尾数攻击是一种可能出现在联合学习中的安全威胁。为了保护联合学习任务的安全性和可靠性,需要采取有效的措施来识别、减轻和预防尾数攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值