READ-2304 CRFL Certifiably Robust Federated Learning against Backdoor Attacks

最新推荐文章于 2024-07-12 15:56:08 发布
最新推荐文章于 2024-07-12 15:56:08 发布
阅读量261 收藏 1
点赞数
分类专栏: FL Security 文章标签: 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51638853/article/details/129209570
版权

READ-2304 CRFL Certifiably Robust Federated Learning against Backdoor Attacks

论文名称CRFL Certifiably Robust Federated Learning against Backdoor Attacks
作者Chulin Xie, Minghao Chen, Pin-Yu Chen, Bo Li
来源International Conference on Machine Learning
领域Machine Learning – Federal learning – Against Backdoor Attacks
问题为了防御后门攻击,已有的研究采用健壮性聚合方法或健壮性联邦训练原则,但缺乏健壮性认证
方法CRFL通过梯度裁剪和梯度平滑控制全局模型的平滑性,使得具有有限幅度的后门存在抽样鲁棒性证明
创新提出CRFL以防御后门攻击

阅读记录

一、攻击模型

1.攻击者使用中毒数据训练本地数据,并扩大恶意更新
2.每个攻击者进行single-shot
3.攻击者同时发起攻击

二、CRFL

1.训练阶段
3

(1)服务器聚合收集到的中心服务器
(2)裁剪聚合模型的范数
1
(3)向裁剪后的模型加入噪声:施加Guass噪声,在最后一个通信中不施加噪声
2
(4)广播全局模型
2.推理阶段
服务器使用随机参数平滑最终的全局模型,并基于参数平滑模型进行最终预测。
(1)平滑分类器
使用平滑分类器对原始全局模型的预测结果进行投票,获取在所有class选最可能的。
4

  • μ:为了与训练时间高斯噪声保持一致,在推理阶段对全局模型采用高斯平滑措施
  • H:由于难以针对不同class获取NN,因此用Monte Carlo方法估算,获取不同class分类器
  • h:将测试样本输入不同class分类器(可能是二分类),获取样本属于每个类的可能性,计算最可能的class
    (2)整体过程
    ①GetCounts
    Ca:可能性最高的class,可能性为Pa
    Cb:可能性第二高的class,可能性为Pb
  • 将测试样本输入每一个噪声模型,返回class统计向量
  • 获取样本最后可能的前两个class,并计算二者之间的相关性
    ②CalculateBound
  • 调整经验估计,约束平滑模型返回错误标签的概率
  • 使用Hoeffding不等式计算Pa的下界和Pb的上界
    ③CalculateRadius:用于保证模型的健壮性
    5
    特征级别的健壮性:假设每个攻击者的后门幅度相同,若后门幅度小于RAD,则可以保证健壮性
  • RAD相当于模型可以容忍的后门上界,通过调整超参数可以改变RAD,从而控制鲁棒性-精度之间的权衡
  • 由于0<2Φ<1,当T趋于无穷时,RAD趋于无穷,因此在后门攻击后进行良性训练将削弱中毒攻击,通过无限轮这样的微调,该模型能够容忍任意大幅度的后门
  • 当客户端数量较多时,可以削弱恶意客户端的权重,从而使RAD增大,容忍大规模的攻击
    (3)伪代码
    注意:训练阶段最后的全局模型只进行了裁剪,并没有加入噪声
    ①采用和训练阶段同分布的噪声,随机取样M次,分别加到训练阶段给出的裁剪模型中,得到M个噪声模型
    ②用M个模型分别对测试数据进行推理,获取最可能的两个class及其对应概率:Pa、Pb
    ③计算Pa的下界和Pb的上界
    ④若Pa的下界>Pb的上界,则计算验证半径RAD并预测图像为class a,否则输出ABSTAIN,RAD=0
    6
三、防御效果

1.对其他投毒攻击的防御效果
(1)对于不同的攻击,可以使用定理2分析模型的相似性,用定理3分析预测的一致性
(2)边缘案例攻击本质上通过选择罕见图像而不是直接添加后门模式来进行特殊的语义攻击。通过将此类图像看作样本的一部分,CRFL可以抵御此类攻击。
2. 与DPFL进行对比
(1)机制
①DPFL:训练期间添加噪声以提供隐私保障
②CRFL:在训练和测试期间增加了平滑噪声,以提供经认证的数据中毒鲁棒性
区别:CRFL添加的噪声不需要像DPFL那样大以提供强大的隐私保障,更好的保证了模型实用性
(2)认证目标
①DPFL:为模型参数提供客户端级别的隐私保证
②CRFL:为逐点预测提供特征、样本和客户端级别的鲁棒性保证
(3)技术贡献
①DPFL:通过DP合成定理获得DP保证
②CRFL:通过马尔可夫核量化全局模型偏差,并通过参数平滑验证平滑模型的鲁棒性
3. 与集中式设置的可验证健壮性模型进行对比
(1)噪声模型的生成
①ML:使用M个加入噪声的数据集进行训练,从而产生M个噪声模型
②CRFL:使用同一个全局模型,生成M个噪声加入到全局模型中,从而产生M个噪声模型
(2)随机平滑
①ML:对于每个测试样本,随机平滑生成M个有噪声样本,对测试样本进行平滑
②CRFL:对参数进行平滑

总结

本篇论文中采用梯度裁剪+噪声的方式防御后门攻击,但是相比同类型的防御方式相比,本文:(1)不仅仅针对训练阶段进行了防御,在推理阶段也使用噪声平滑的方式进行了防御(2)提出了健壮性衡量指标,使得CRFL的健壮性得以控制。

VivienneLuo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CRFL:Certifiably Robust Federated Learning against Backdoor Attacks
梦码城博客中心
11-14 1260
在联邦学习的场景中,很容易在本地客户端添加像后门这种的对抗扰动,从而影响全局模型的训练。针对这些对抗攻击,现有方法包括:设计一种鲁棒性聚合函数、开发经验丰富的联邦学习协议、利用噪声扰动、在训练期间增加额外的评估。但是这些方法都缺乏在一定条件下针对后门攻击的鲁棒性验证。**CRFL的具体过程:**在训练阶段,每个客户端可以上传参数到服务端做聚合与更新,其中服务端主要负责:(1)聚合从客户端收集的模型信息;(2)裁剪聚合模型的范式;(3)对被裁剪模型增加随机噪声;(4)给每一个客户端返回新的模型参数。
【论文阅读笔记】CRFL: Certifiably Robust Federated Learning against Backdoor Attacks
leticia_m的博客
05-29 829
个人阅读笔记,如有错误欢迎指出!
联邦学习(FL)+差分隐私(DP)
m0_50609661的博客
07-11 9736
联邦学习+差分隐私(FL+DP)
Linux查看系统版本命令
weixin_34051201的博客
06-22 698
1. 查看内核版本 1)dpfl@ubuntu:~$ cat /proc/version Linux version 3.5.0-23-generic (buildd@akateko) (gcc version 4.6.3 (Ubuntu/Linaro 4.6.3-1ubuntu5) ) #35~precise1-Ubuntu SMP Fri Jan 25 17:15:33 UT...
论文阅读:DP-FL: a novel differentially private federated learning framework for the unbalanced data
三金samkam的博客
07-05 821
论文名字 DP-FL: a novel differentially private federated learning framework for the unbalanced data 来源 World wide web (2020) 年份 2020 作者 Xixi Huang, Ye Ding, Zoe L. Jiang, ·Shuhan Qi,...
CCF A类会议或期刊----近两年联邦学习相关论文
Thincor的博客
03-24 4072
会议/期刊 论文 neurips2020 Lower Bounds and Optimal Algorithms for Personalized Federated Learning. neurips2020 Ensemble Distillation for Robust Model Fusion in Federated Learning. neurips2020 Personalized Federated Learning with Theoretical Guarante....
(翻译)DBA: DISTRIBUTED BACKDOOR ATTACKS AGAINST FEDERATED LEARNING
11-27 1258
(翻译)DBA: DISTRIBUTED BACKDOOR ATTACKS AGAINST FEDERATED LEARNING
《DBA: DISTRIBUTED BACKDOOR ATTACKS AGAINST FEDERATED LEARNING》阅读笔记
Yale的博客
01-20 2821
DBA: DISTRIBUTED BACKDOOR ATTACKS AGAINST FEDERATED LEARNING ** 本文发在ICLR 2020,针对联邦学习进行的后门攻击。其提出的方案针对传统的针对FL的攻击而言更隐蔽、持续、也更有效。** Abstract 联邦学习可以聚和由不同参与方提供的信息来训练得到一个更好的模型,它分布式学习的特点导致其存在一个内生问题:不同参与方提供的各种各样的数据可能会带来新的漏洞。 除了最近针对联邦学习的中心化的后门攻击(在训练期间每一方都嵌入一个全局trigge
强化学习对抗攻击总结
weixin_44548214的博客
04-10 1996
十六、Adversarial Attack in RL&MARL Summary 1、前言 这次主要对6篇论文做一个总结,这几篇文章有着比较紧密的联系: 1、Adversarial Attacks on Neural Network Policies (2017 ICLR) 2、DELVING INTO ADVERSARIAL ATTACKS ON DEEP POLICIES (2017 ICLR) 3、Robust Adversarial Reinforcement Learning (2017
CSRF攻击
weixin_42606458的博客
03-02 1230
对于常规的Web攻击手段,如XSS、CRSF、SQL注入、(常规的不包括文件上传漏洞、DDoS攻击)等,防范措施相对来说比较容易,对症下药即可,比如XSS的防范需要转义掉输入的尖括号,防止CRSF攻击需要将cookie设置为httponly,以及增加session相关的Hash token码 ,SQL注入的防范需要将分号等字符转义,等等做起来虽然筒单,但却容易被忽视,更多的是需要从开发流程上来予以...
CRLF介绍
mytream的专栏
08-18 2848
CRLF -- Carriage-Return Line-Feed 回车换行 1简介 ▪ CRLF的意思 ▪ CRLF命令 ▪ CRLF注入 2实际应用 ▪ CRLF的含义 ▪ CRLF攻击 ▪ 避免攻击的方法 简介编辑 CRLF的意思 就是回车(CR, ASCII 13, \r) 换行(LF, ASCII 10, \n)。
详解CRLF注入攻击的原理和其防范措施
许立峰的专栏
11-14 6282
CRLF注入攻击并没有像其它类型的攻击那样著名。但是,当对有安全漏洞的应用程序实施CRLF注入攻击时,这种攻击对于攻击者同样有效,并且对用户造成极大的破坏。让我们看看这些应用程序攻击是如何实施的和你能够采取什么措施保护你的机构。 CRLF的含义是“carriage return/line feed”,意思就是回车。这是两个ASCII字符,分别排在第十三和第十位。CR和LF是在计算机终端还是电传打
AGI 之 【Hugging Face】 的【问答系统】的 [构建问答系统] / [ 构建基于评论的问答系统 ] 的简单整理
仙魁XAN
07-12 777
AGI,即通用人工智能(Artificial General Intelligence),是一种具备人类智能水平的人工智能系统。它不仅能够执行特定的任务,而且能够理解、学习和应用知识于广泛的问题解决中,具有较高的自主性和适应性。AGI的能力包括但不限于自我学习、自我改进、自我调整,并能在没有人为干预的情况下解决各种复杂问题。AGI能做的事情非常广泛:跨领域任务执行:AGI能够处理多领域的任务,不受限于特定应用场景。自主学习与适应:AGI能够从经验中学习,并适应新环境和新情境。
人工智能在自动驾驶中的目标检测研究
zhumin726的专栏
07-10 672
视觉识别技术在自动驾驶中的目标检测扮演着不可或缺的角色。通过不断优化目标检测算法,结合最新的深度学习技术,自动驾驶车辆将能够更加准确、安全地感知周围环境,实现真正的无人驾驶。视觉识别技术使得车辆能够像人类一样“看”到周围环境,通过图像处理和深度学习算法,实现对周围目标的检测和识别。我们将详细讨论目标检测的基本原理、常用算法、最新进展、已有的开源项目及其在自动驾驶中的应用和挑战。通过这些详细的讨论和分析,我们可以更好地理解人工智能在自动驾驶中如何通过视觉识别进行目标检测,并进一步推动这一技术的研究和应用。
聊聊如何在内网下构建大模型微调环境
python1234567_的博客
07-12 703
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
YOLOv10改进 | 特殊场景检测篇 | 轻量级的低照度图像增强网络IAT改进YOLOv10暗光检测(全网独家首发)
热门推荐
Snu77的博客
07-11 1万+
本文给大家带来的改进机制是轻量级的变换器模型:Illumination Adaptive Transformer (IAT),用于图像增强和曝光校正。其基本原理是通过分解图像信号处理器(ISP)管道到局部和全局图像组件,从而恢复在低光或过/欠曝光条件下的正常光照sRGB图像。具体来说,IAT使用注意力查询来表示和调整ISP相关参数,例如颜色校正、伽马校正。模型具有约90k参数和约0.004s的处理速度,能够在低光增强和曝光校正的基准数据集上持续实现优于最新技术(State-of-The-Art, SOTA)
人力资源人工智能依赖于良好的数据
最新发布
yongyoudayee的博客
07-12 716
人力资源不断发展(HR)人工智能在技术领域(AI)它已经成为改变游戏规则的力量。人工智能驱动的工具有望简化人力资源流程,提高管理能力,彻底改变员工体验。然而,这些人工智能解决方案的有效性仅取决于算法的复杂性或计算硬件的能力。事实上,这种模式的很大一部分取决于一个基本的——良好的数据。
CV06_Canny边缘检测算法和python实现
https://github.com/foxpup11?tab=repositories
07-11 829
https://www.bilibili.com/video/BV1qU4y1U7aK/?spm_id_from=333.337.search-card.all.click&vd_source=7dace3632125a1ef7fd32c285eb2fbac
阿里发布大模型发布图结构长文本处理智能体,超越GPT-4-128k
夕小瑶科技说
07-09 872
随着大语言模型的发展,处理长文本的能力成为了一个重要挑战。虽然有许多方法试图解决这个问题,但都存在不同程度的局限性。最近,阿里巴巴的研究团队提出了一个名为GraphReader的新方法,通过将长文本组织成图结构,并利用智能体来探索这个图,成功提升了模型处理长文本的能力。GraphReader的核心思想是将长文本分解成关键元素和原子事实,构建成一个图,然后让智能体在这个图中探索和推理。这种方法不仅能有效处理超长文本,还在多跳问答等复杂任务上取得了优异表现。
AI技术的转变:从辨别式到生成式
学IT,找陈寒
07-09 3361
李彦宏在2024世界人工智能大会上的发言,提醒我们在AI技术发展的道路上,不要盲目追求技术本身或表面的用户数据,而应更多地关注技术的实际应用和产业价值。在大模型技术与个性化应用之间找到平衡,将是未来发展的关键。作为AI从业者和技术爱好者,我们应以务实的态度,探索AI技术在各个领域的实际应用,为产业发展和社会进步贡献力量。通过李彦宏的发言,我深刻认识到AI技术发展的方向和挑战,也更加坚定了自己在这一领域继续探索和创新的信心。未来,愿我们共同努力,推动AI技术更好地服务于社会和产业,为人类创造更美好的未来。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值