READ-2204 FL-WBC Enhancing Robustness against Model Poisoning Attacks in Federated Learning from a Client Perspective
论文名称 | FL-WBC Enhancing Robustness against Model Poisoning Attacks in Federated Learning from a Client Perspective |
---|---|
作者 | Jingwei Sun, Ang Li, Louis DiValentin, Amin Hassanzadeh, Yiran Chen, Hai Li |
来源 | NeurIPS 2021 |
领域 | Machine Learning – Federal learning – Against Poisoning Attacks |
问题 | 1.传统的基于服务器的健壮聚合的方法只能避免模型在聚合过程中受到投毒攻击,但当攻击性极强时却无法保证全局模型的鲁棒性 2.一旦全局模型受污染,即使接下来的通信中不存在攻击,之前攻击产生的影响也会继续保留 |
方法 | 使用定量估计器AEP估算投毒攻击对全局模型的影响以及推断FL在不同时刻对模型中毒攻击所暴露的敏感性信息;使用FL-WBC减轻模型所受的污染:使用基于客户端的防御方法,与基于服务器的防御方法互补 |
创新 | 提出基于客户端的防御方法 |
阅读记录
一、攻击模型
- 攻击方式:有目标的模型中毒攻击
- 恶意数据集:与良性数据集分布一致但是拥有恶意数据标签,且所有客户端的恶意数据集一样
- 知识:恶意客户端拥有与良心客户端一样的知识
二、检测投毒攻击的影响
1.正常训练过程
(1)服务器更新目标
(2)良性客户端的本地更新目标
(3)恶意客户端的本地更新目标:存在恶意更新目标
(4)服务器聚合方法
2.评估攻击对模型参数的影响
(1)无污染的聚合
没有任何攻击情况下的参数聚合,即该模型在第t轮通信及其之前的通信均没有被污染过
(2)受攻击后模型的偏差
①公式:无污染模型权重-存在恶意客户端的模型更新
②含义:恶意设备的攻击累积到第t轮时,对全局模型参数的改变。
③根据该公式的测量可以看出:一个全局模型受到一轮攻击后,攻击产生的影响会维持多个通信轮
(3)攻击对模型的影响
①含义:在一轮攻击后,下一轮攻击前,正常通信时的AEP受之前攻击影响的关系
②影响因素:若H的值与受攻击时的AEP强相关,那么攻击的影响将一直停留在全局模型中,之后正常通信时的AEP与受最近一次攻击时的APE相似
③攻击的影响停留在全局模型的原因:H的核心为受攻击的AEP,当攻击性强时H=0
④传统基于服务器的健壮性聚合无效的原因:在全局模型中,AEP的传递性由H决定,而服务器无法访问H,因此需要从客户端的角度消除受污染的全局模型的影响,以增强FL的健壮性
三、FL-WBC
- 良性客户端的目标
①保持良性客户端任务的性能,使得良性客户端的本地loss最小
②为了防止AEP被隐藏在良性客户端的Hessian矩阵中,需要扰动H的核心 - 扰动H的原理
由于H维度较高,从计算的角度上看直接扰动是无法实现的。而H的本质是损失函数的二阶偏导,其对角线是每轮通信的梯度变化,且H中60%的元素是0。因此在H高度稀疏的情况下,向H对角线的少数维度加入噪声,将实现有效扰动。
3.客户端模型更新
(1)良性客户端首先利用正常数据集和受污染的全局模型进行正常的更新
(2)添加扰动
①γ:与模型同等大小的矩阵,矩阵元素可以随意设置。元素越随机,攻击者越难以攻击。本文设置为均值为0的拉普拉斯噪声。
②M:在第t轮通信中,对于客户端k训练到第i个epoch时的二进制掩码,寻找H对角线上的少量元素进行扰动
(3)计算经过扰动的梯度
τ:经过扰动后的更新
(4)计算经过扰动的模型更新
4.实现过程
实验结果
在恶意数据集仅有一张图片的情况下检验FL-WBC的有效性
- 在IID/非IID设置下,对FL-WBC与健壮性聚合防御的错误分类置信度的比较
- FL-WBC的防御可以更有效地减轻模型投毒攻击的影响
- 在本文的攻击设置下,健壮的聚合(CMA、CTMA)无法减轻模型投毒攻击的影响
- 在IID/非IID设置下,对FL-WBC和DP的良性精度和攻击缓解回合的比较
- 在牺牲小于5%的良性准确性的情况下,FL-WBC可以分别在IID设置的1个通信轮和非IID设置在5个通信轮内减轻模型中毒攻击对全局模型的影响。然而,CDP和LDP无法在IID的5轮内和非IID设置的10轮内减轻攻击效果
- 对于防御变得更具挑战性的非IID设置,FL-WBC仍然可以在2轮内以小于15%的良性精度下降来缓解攻击效果,但DP无法在3轮内以低于30%的良性精度降低来进行有效缓解,导致良性任务的效用不可接受
- FL-WBC优于CDP和LDP的原因是:FL-WBC只向持久AEP所在的参数空间注入扰动,而不是像DP方法那样扰动所有参数。因此,FL-WBC可以以较少的精度下降实现更好的鲁棒性
- 对non-IID设置下的防御比IID设置更难的原因是:在non-IID的设置下,仅持有少数类别的数据的客户端仅训练全局模型的部分参数,导致Hessian矩阵更加稀疏,更可能具有更高维度的内核
恶意数据集有多张图片的情况下检验FL-WBC的有效性
- 评估防御的有效性:攻击的影响轮次
- 有多个恶意图像的防御比只有一个图像时的防御更容易:与单个恶意图像的AEP相比,多个恶意图像的AFP需要更大的参数空间
- 尽管存在多个恶意图像时,FL-WBC最终可以缓解攻击的影响,但无论对于IID和非IID设置,鲁棒聚合均不能保证在5个通信回合内缓解攻击的影响
- 在IID/非IID设置下,对FL-WBC和DP的良性精度和攻击缓解回合的比较
- FL-WBC可以保证在一个回合内减轻攻击影响,IID设置和非IID设置的良性精度分别低于3%和10%。
- DP方法导致超过9%的良性精度下降,以分别实现IID设置和非IID设置的相同鲁棒性。
- FL-WBC在防御模型中毒攻击方面显著优于DP方法。
鲁棒性聚合与FL-WBC的集成
- 只有CMA不能减轻攻击效果
- 通过同时应用CMA和FL-WBC,在IID设置下的1个通信回合和非IID设置的5个通信回合内,攻击效果得到缓解
- FL-WBC的防御是对基于服务器的鲁棒性聚合的补充,并进一步增强了FL在极强攻击下对模型中毒攻击的鲁棒性
总结
已有研究都是从服务器聚合的角度对模型投毒攻击进行防御。而本文经公式推导后发现,投毒攻击对全局模型影响持续停留的原因主要在于,客户端更新时的Hessian矩阵易受攻击影响。因此,本文从客户端的角度出发,对Hessian矩阵中的对角线少部分维度进行扰动,从而有效的缓解了攻击对后续通信轮次的影响