READ-2303 Defending against Backdoors in Federated Learning with Robust Learning Rate
论文名称 | Defending against Backdoors in Federated Learning with Robust Learning Rate |
---|---|
作者 | Mustafa Safa Ozdayi, Murat Kantarcioglu, Yulia R. Gel |
来源 | AAAI 2021 |
领域 | Machine Learning – Federal learning – Against Backdoor Attacks |
问题 | 传统的健壮性聚合方法主要用于防御无目标攻击,而传统的FedAvg在配合梯度裁剪和噪声加入后对有目标攻击有较好的健壮性,已有基于FedAvg的算法通过改变客户端的学习率进行防御,对拥有相似更新的客户端赋予较小的学习率。这种方法在削弱恶意客户端的更新的同时,也削弱了相似的良性客户端的更新,无法有效区分良性和恶意客户端 |
方法 | 提出一个基于调整服务器每轮通信中每一维度的学习率的轻量级方法。该方法首先推测在FL设置中成功实施后门攻击的必要步骤,然后根据推测制定防御措施 |
创新 | 提出一个防御后门攻击的轻量级方法 |
阅读记录
一、基本概念
- FedAvg
- FedAvg+weight-clipping+noise
服务器通过除以一个标量对客户端更新进行裁剪,然后进行聚合,再加入噪声
- FoolsGold
(1)设置:不同客户端不同学习率,而非服务器统一学习率
(2)原理:假设恶意客户端共享共同的后门任务,他们之间的更新将比真实的更新更相似
- sign aggregation
只传输梯度的标识符,服务器通过标识符进行聚合,客户端通过标识符进行更新
二、攻击模型
- 假设:良性模型和恶意模型在某些维度上的更新方向不一样
- 恶意客户端的聚合更新:引导全局模型趋近于恶意模型,最小化在后门任务和主任务上的损失
- 良性客户端的聚合更新:使全局模型趋近于良性模型,最小化在主任务上的损失
三、Robust learning rate (RLR)
- 学习率设置
(1)含义:对于每一个维度,如果更新的标识和小于阈值,则将学习率转为相反数,以扩大这一维度上的损失,促进模型学习
(2)作用:对于每一个维度,具有足够的投票才进行更新,最大化恶意攻击者的损失
- θ:学习阈值
- i:维度
- k:客户端
- 聚合(FedAvg+RLR)
作用:不同维度上的学习率不同
- η:所有维度上的学习率向量
四、RLR性能
- 有效性原因:RLR为何可以最大化攻击者的损失
- 防御效果
RLR显著降低了木马模式后门攻击的有效性。在FL设置中,成功实施语义后门攻击需要对参数进行增强(scaling attack),而木马后门比语义后门更强大。在高级别上,对手可以修改局部损失函数使恶意更新更接近诚实更新,但这可能会导致他的攻击失去效力。对此,RLR无法找到攻击者,而是通过乘以-η来否定他的更新,因此对手不能仅仅通过修改损失函数来绕过RLR的防御
总结
RLR的关键思想是根据客户端更新的符号信息调整聚合服务器的每维度和每轮学习率。同时RLR背后的洞察力也与non-i.i.d.环境中有关,即使在没有对手的情况下也是如此。因为,本地分布的差异可能会导致来自不同的更新,从而将模型引向损失面上的不同方向。作为未来的工作,作者计划分析RLR如何影响在不同non-i.i.d.设置下训练的模型的性能