READ-2307 The Limitations of Federated Learning in Sybil Settings

最新推荐文章于 2024-07-19 17:35:15 发布
最新推荐文章于 2024-07-19 17:35:15 发布
阅读量849 收藏
点赞数 1
分类专栏: FL Security 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51638853/article/details/129290176
版权
文章探讨了在联邦学习环境中女巫攻击的问题,提出了新类型的女巫拒绝服务攻击,并详细介绍了防御方法FoolsGold。FoolsGold利用更新的相似性调整学习率来区分恶意和诚实客户端,但面临假阳性和假阴性率的问题。此外,它在特定攻击策略下防御效果有限。
摘要由CSDN通过智能技术生成

READ-2307 The Limitations of Federated Learning in Sybil Settings

论文名称The Limitations of Federated Learning in Sybil Settings
作者Clement Fung, Chris J. M. Yoon, Ivan Beschastnikh
来源RAID 2020
领域Machine Learning - Federal learning - Security - Defense targeted & data poisoning attac
问题1.对于FL的基于女巫攻击的研究较少 2.已有的防御方式难以抵御训练膨胀攻击
方法本文定义了一种女巫拒绝服务攻击,并且针对这种新型攻击方式设计了相应的防御方式,即根据客户端更新的相似性调整客户端学习率
创新提出女巫攻击及防御方法

阅读记录

一、攻击
  1. 女巫攻击:多个恶意客户端由一个攻击者控制
  2. 攻击类型:女巫发起的有目标投毒攻击
    1
  3. 假设
    (1)客户端的数据不可相互访问,攻击者也不能访问其他诚实客户端的数据
    (2)攻击者只能通过FL API访问并影响模型的状态
    (3)攻击者可以获取全局模型,但不能获取诚实客户端的本地模型
    (4)服务器是可靠非恶意的
    (5)女巫可以躲避基于非对称密钥的防御方式
  4. 攻击者的能力
    (1)攻击者对系统的影响随着女巫的增加而增加
    (2)女巫获取的知识是固定的:女巫只能获取全局模型
  5. 攻击目标
    (1)攻击类型
    2
    (2)女巫攻击
    3
    (3)女巫攻击和不同类型攻击结合
    4
二、防御
  1. 已有的防御方式
    对于Multi-Krum、median、trimmed mean,这三种健壮性聚合方法在拜占庭攻击者数量较少时可以进行较好的防御,但是攻击者数量大于一定限制时,防御失效。
  2. 模型假设
    (1)客户端的数据集集合拥有所有标签空间中的所有标签
    (2)由于scaling attack已经被其他工作很好的防御,本文并不考虑对于这种攻击的防御
    (3)FoolsGold中不使用安全聚合方法,并且要求同步执行FL
    (4)恶意客户端在执行攻击时无需进行差分隐私操作
  3. 原理
    在实施有目标投毒攻击时,女巫之间的更新比诚实客户端之间的更新更相似,当客户端更新高度相似时,将赋予其较低的学习率。基于女巫之间的更新比诚实客户端之间的更新更相似的原理,FoolsGold可以很好的区分诚实客户端和act-alike女巫,在non-IID设置中尤其明显。
    5
  4. FoolsGold
    (1)Cosine similarity
    余弦相似度:由于女巫可以通过改变梯度的大小从而实现不相似性,而梯度的方向表示了更新的目标,因此选择余弦相似度比欧氏距离更合理
    note:
    ①余弦相似度:把目标当作向量,计算两个向量间的角度,以衡量二者方向上的相似程度
    ②欧氏距离:把目标当作点,计算两点之间的绝对距离,以衡量二者的位置上的相似程度
    (2)Feature importance
    特征重要性:
    ①从投毒攻击的角度,一个模型由三种特征:
  • 与模型正确性相关的特征,并且修改了这种特征后才能实施成功的攻击
  • 与模型正确性相关的特征,但是是否修改这种特征与攻击的成功与否无关
  • 与模型正确性和攻击成功与否都无关的特征
    注意,本文只关注第1、2种类型的指示性特征
    ②寻找指示性特征
    由于全局模型输出层的模型参数直接映射到预测结果,因此可以通过测量该层参数的改变幅度寻找指示性特征。
    (3)Update history
    更新历史:由于SGD的偏差,即使两个女巫的目标相同,同一轮迭代种二者之间的差别仍然较大,因此使用历史更新之间的相似度而非当前迭代更新相似度
    (4)Pardoning
    赦免:
    ①由于诚实客户端可能被当作恶意客户端,因此通过重新对余弦相似度进行赋值,减少假阳率
    ②将余弦相似度翻转后形成学习率,对学习率进行正则化后,可以保证至少有一个客户端的更新不被修改,从而鼓励诚实客户端不被惩罚
    (5)Logit
    逻辑回归:即使非常相似的更新也可能导致余弦相似度小于1,为了鼓励函数末端值的发散性,同时避免诚实客户端由于较低的非零相似度被惩罚,使用置信参数扩大中心为0.5的逻辑函数,使得学习率在0-1之间
    6

总结

本文从恶意客户端与诚实客户端之间的区别出发,设计了Fools Gold防御方式,但存在以下问题:

  1. 在攻击者数量较少时假阳率较高
  2. 在恶意客户端较多时假阴率较高

因此,我认为,如果从相似度的角度进行防御,我们不仅需要思考恶意客户端和良性客户端之间的区别,还需要思考恶意客户端之间的共性和良性客户端的共性。用分类问题的思想来思考,就是需要增大类间距,缩小类内距。

同时,尽管 FoolsGold 在对抗有目标投毒攻击方面表现出色,但不能很好地捍卫其他基于女巫的策略,如协同攻击、适应性攻击、智能扰动、分布式后门。

VivienneLuo
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
联邦学习攻击与防御综述
weixin_45585364的博客
10-24 4284
联邦学习攻击与防御综述吴建汉1,2,司世景1,王健宗1,肖京11.平安科技(深圳)有限公司,广东深圳5180632.中国科学技术大学,安徽合肥230026摘要:随着机器学习技术的广泛应用,数据安全问题时有发生,人们对数据隐私保护的需求日渐显现,这无疑降低了不同实体间共享数据的可能性,导致数据难以共享,形成“数据孤岛”。联邦学习可以有效解决“数据孤岛”问题。联邦学习本质上是一种分布式的...
The use of standard scores in diagnosing learning disabilities: A critique
06-29
The use of standard scores in diagnosing learning disabilities: A critique Psychologv in the Schools Volume 23, October 1986 THE USE OF STANDARD SCORES IN DIAGNOSING LEARNING DISABILITIES: A ...
【论文笔记】The Limitations of Federated Learning in Sybil Settings
weixin_43747691的博客
11-03 1273
《The Limitations of Federated Learning in Sybil Settings
【论文阅读笔记】The Limitations of Federated Learning in Sybil Settings
leticia_m的博客
04-25 731
个人阅读笔记,如有错误欢迎指正。
READ-2303 Defending against Backdoors in Federated Learning with Robust Learning Rate
m0_51638853的博客
02-24 401
RLR的关键思想是根据客户端更新的符号信息调整聚合服务器的每维度和每轮学习率。同时RLR背后的洞察力也与non-i.i.d.环境中有关,即使在没有对手的情况下也是如此。因为,本地分布的差异可能会导致来自不同的更新,从而将模型引向损失面上的不同方向。作为未来的工作,作者计划分析RLR如何影响在不同non-i.i.d.设置下训练的模型的性能。
关于The Limitations of Deep Learning in Adversarial Settings的理解
kearney1995的博客
03-27 2546
 与之前的基于提高原始类别标记的损失函数或者降低目标类别标记的损失函数的方式不同,这篇文章提出直接增加神经网络对目标类别的预测值。换句话说,之前的对抗样本的扰动方向都是损失函数的梯度方向(无论是原始类别标记的损失函数还是目标类别标记的损失函数),该论文生成的对抗样本的扰动方向是目标类别标记的预测值的梯度方向,作者将这个梯度称为前向梯度(forward derivative)。即: ∇F(X)=∂...
计算模型与算法技术:12-Coping with the Limitations of Algorithm Power.ppt
06-23
在“Coping with the Limitations of Algorithm Power”这个主题中,我们探讨的是如何应对算法能力的局限性,这是一个至关重要的话题,因为算法在现实生活和工程应用中起着关键作用。 首先,我们要理解什么是回溯法...
论文研究-The limitations of optitimizing the FOPA gain by inserting an OBPF.pdf
08-16
通过插入带通滤波器优化光纤参量放大器增益性能方法的局限性,赵琳琳,余重秀,本文主要研究了在光纤参量放大器中插入带通滤波器来优化放大器增益方法的局限性。相关文献表明,在参量放大过程中,通过插入带通
对The Limitations of Deep Learning in Adversarial Settings理解
qq_36415775的博客
04-11 1253
The Limitations of Deep Learning in Adversarial Settings理解 对抗设置中深度学习的局限性 摘要 - 深度学习利用大型数据集和计算上有效的训练算法,在各种机器学习任务中胜过其他方法。然而,深度神经网络训练阶段的不完善使得它们容易受到对抗样本的攻击:由对手制造的输入旨在导致深度神经网络错误分类。在这项工作中,我们将对手的空间形式化为深度神经网络(...
联邦学习中的后门攻击的防御手段
juli_eyre的博客
05-19 2064
后门攻击的防御手段横向对比 学习
论文那些事—The Limitations of Deep Learningin Adversarial Settings
shuweishuwei的博客
09-23 660
论文标题:对抗环境下深度学习的局限性 1、摘要
Advances and Open Problems in Federated Learning——4.Preserving the Privacy of User Data翻译
qq_42141843的博客
04-20 700
4.Preserving the Privacy of User Data 机器学习的工作流程需要许多不同功能的共同参与。比如说,用户可能会在与他的其他设备交互的过程中产生训练数据,一个机器学习训练程序会从这些数据中提取人机交互的模式(比如说训练模型的参数的形式),机器学习的工程师或者是算法分析师可能会评估训练模型的质量,并最终把这些模型部署到最终用户的设备上,为了支持特定的用户体验。 在一种理想的情况下,系统中的每个角色仅仅能学习到自己所需要的信息。比如说,如果为了授权将模型部署到最终用户,一个分析师仅仅
【Socket 编程】基于UDP协议建立多人聊天室
稻草人敲代码的博客
07-19 383
对于服务端来说,除了要接收消息之外,还要实现一个路由转发模块,该路由转发模块可以将相应发送给所有连接的客户端。而对于客户端来说,除了要发送消息给聊天室,还要能实时看到其它所有客户端的消息。下面来看看具体实现的代码,代码只给出核心模块,其余代码模块代码可以借鉴我之前的博客。具体来说,服务器类实现的功能只有收消息。
网络协议-SOTP 协议格式
ziyunLLL的博客
07-19 396
SOTP(Secure Overlay Transport Protocol)是一种安全的覆盖层传输协议,旨在提供增强的安全性和功能。2.密钥管理:密钥的管理和交换是协议安全的重要部分,通常使用公钥基础设施(PKI)或密钥交换协议(如 Diffie-Hellman)。1.安全性:确保加密算法和认证算法的安全性。常用的加密算法包括 AES,常用的认证算法包括 HMAC-SHA256。3.性能:加密和认证会增加计算开销,需要在安全性和性能之间找到平衡。SOTP 协议格式的一般结构。
docker build时的网络问题
最新发布
flynetcn的专栏
07-19 317
docker build网络问题
安徽京准:NTP网络时间服务器的几种应用场景
NTP授时服务器
07-19 213
安徽京准:NTP网络时间服务器的几种应用场景
Java 网络编程(TCP编程 和 UDP编程)
weixin_61635597的博客
07-18 1232
我们开发的网络应用程序位于应用层,TCP和UDP属于传输层协议,在应用层如何使用传输层的服务呢?在应用层和传输层之间,则是使用套接Socket来进行分离。套接字就像是传输层为应用层开的一个小口,应用程序通过这个小口向远程发送数据,或者接收远程发来的数据。而这个小口以内,也就是数据进入这个口之后,或者数据从这个口出来之前,是不知道也不需要知道的,也不会关心它如何传输,这属于网络其它层次工作。Socket实际是传输层供给应用层的编程接口。Socket就是应用层与传输层之间的桥梁。
深入理解Linux网络(一):内核如何接收网络
又见南风的博客
07-18 897
在上⾯的代码中跟踪函数调⽤, __igb_open => igb_request_irq => igb_request_msix , 在 igb_request_msix 中我们看到了,对于多队列的⽹卡,为每⼀个队列都注册了中断,其对应的中断处理函数是 igb_msix_ring(该函数也在 drivers/net/ethernet/intel/igb/igb_main.c 下)。如协议注册⼩节看到 inet_protos 中保存着 tcp_v4_rcv() 和 udp_rcv() 的函数地址。
the limitations of deep learning in adversarial settings
03-16
深度学习在对抗性环境中的局限性包括以下几个方面: 1. 对抗性样本的生成:深度学习模型容易受到对抗性样本的攻击,这些样本是经过特定的修改,以欺骗模型的方式来误导其预测结果。这些攻击可能会导致模型的性能下降,甚至完全失效。 2. 对抗性样本的泛化:深度学习模型在训练时可能会过度拟合训练数据,导致其对新的对抗性样本的泛化能力较弱。这意味着即使模型在训练数据上表现良好,也可能无法在实际应用中有效地应对对抗性攻击。 3. 对抗性样本的检测:深度学习模型在对抗性样本的检测方面存在一定的局限性。由于对抗性样本的生成方式多种多样,模型可能无法准确地检测出所有的对抗性样本。 4. 对抗性攻击的防御:深度学习模型在对抗性攻击的防御方面也存在一定的局限性。虽然有一些防御方法可以减轻对抗性攻击的影响,但是这些方法并不能完全消除对抗性攻击的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值