READ-2304 CRFL Certifiably Robust Federated Learning against Backdoor Attacks
论文名称 | CRFL Certifiably Robust Federated Learning against Backdoor Attacks |
---|---|
作者 | Chulin Xie, Minghao Chen, Pin-Yu Chen, Bo Li |
来源 | International Conference on Machine Learning |
领域 | Machine Learning – Federal learning – Against Backdoor Attacks |
问题 | 为了防御后门攻击,已有的研究采用健壮性聚合方法或健壮性联邦训练原则,但缺乏健壮性认证 |
方法 | CRFL通过梯度裁剪和梯度平滑控制全局模型的平滑性,使得具有有限幅度的后门存在抽样鲁棒性证明 |
创新 | 提出CRFL以防御后门攻击 |
阅读记录
一、攻击模型
1.攻击者使用中毒数据训练本地数据,并扩大恶意更新
2.每个攻击者进行single-shot
3.攻击者同时发起攻击
二、CRFL
1.训练阶段
(1)服务器聚合收集到的中心服务器
(2)裁剪聚合模型的范数
(3)向裁剪后的模型加入噪声:施加Guass噪声,在最后一个通信中不施加噪声
(4)广播全局模型
2.推理阶段
服务器使用随机参数平滑最终的全局模型,并基于参数平滑模型进行最终预测。
(1)平滑分类器
使用平滑分类器对原始全局模型的预测结果进行投票,获取在所有class选最可能的。
- μ:为了与训练时间高斯噪声保持一致,在推理阶段对全局模型采用高斯平滑措施
- H:由于难以针对不同class获取NN,因此用Monte Carlo方法估算,获取不同class分类器
- h:将测试样本输入不同class分类器(可能是二分类),获取样本属于每个类的可能性,计算最可能的class
(2)整体过程
①GetCounts
Ca:可能性最高的class,可能性为Pa
Cb:可能性第二高的class,可能性为Pb - 将测试样本输入每一个噪声模型,返回class统计向量
- 获取样本最后可能的前两个class,并计算二者之间的相关性
②CalculateBound - 调整经验估计,约束平滑模型返回错误标签的概率
- 使用Hoeffding不等式计算Pa的下界和Pb的上界
③CalculateRadius:用于保证模型的健壮性
特征级别的健壮性:假设每个攻击者的后门幅度相同,若后门幅度小于RAD,则可以保证健壮性 - RAD相当于模型可以容忍的后门上界,通过调整超参数可以改变RAD,从而控制鲁棒性-精度之间的权衡
- 由于0<2Φ<1,当T趋于无穷时,RAD趋于无穷,因此在后门攻击后进行良性训练将削弱中毒攻击,通过无限轮这样的微调,该模型能够容忍任意大幅度的后门
- 当客户端数量较多时,可以削弱恶意客户端的权重,从而使RAD增大,容忍大规模的攻击
(3)伪代码
注意:训练阶段最后的全局模型只进行了裁剪,并没有加入噪声
①采用和训练阶段同分布的噪声,随机取样M次,分别加到训练阶段给出的裁剪模型中,得到M个噪声模型
②用M个模型分别对测试数据进行推理,获取最可能的两个class及其对应概率:Pa、Pb
③计算Pa的下界和Pb的上界
④若Pa的下界>Pb的上界,则计算验证半径RAD并预测图像为class a,否则输出ABSTAIN,RAD=0
三、防御效果
1.对其他投毒攻击的防御效果
(1)对于不同的攻击,可以使用定理2分析模型的相似性,用定理3分析预测的一致性
(2)边缘案例攻击本质上通过选择罕见图像而不是直接添加后门模式来进行特殊的语义攻击。通过将此类图像看作样本的一部分,CRFL可以抵御此类攻击。
2. 与DPFL进行对比
(1)机制
①DPFL:训练期间添加噪声以提供隐私保障
②CRFL:在训练和测试期间增加了平滑噪声,以提供经认证的数据中毒鲁棒性
区别:CRFL添加的噪声不需要像DPFL那样大以提供强大的隐私保障,更好的保证了模型实用性
(2)认证目标
①DPFL:为模型参数提供客户端级别的隐私保证
②CRFL:为逐点预测提供特征、样本和客户端级别的鲁棒性保证
(3)技术贡献
①DPFL:通过DP合成定理获得DP保证
②CRFL:通过马尔可夫核量化全局模型偏差,并通过参数平滑验证平滑模型的鲁棒性
3. 与集中式设置的可验证健壮性模型进行对比
(1)噪声模型的生成
①ML:使用M个加入噪声的数据集进行训练,从而产生M个噪声模型
②CRFL:使用同一个全局模型,生成M个噪声加入到全局模型中,从而产生M个噪声模型
(2)随机平滑
①ML:对于每个测试样本,随机平滑生成M个有噪声样本,对测试样本进行平滑
②CRFL:对参数进行平滑
总结
本篇论文中采用梯度裁剪+噪声的方式防御后门攻击,但是相比同类型的防御方式相比,本文:(1)不仅仅针对训练阶段进行了防御,在推理阶段也使用噪声平滑的方式进行了防御(2)提出了健壮性衡量指标,使得CRFL的健壮性得以控制。