Local Model Poisoning Attacks to Byzantine-Robust Federated Learning论文阅读笔记

最新推荐文章于 2024-07-11 08:29:34 发布
最新推荐文章于 2024-07-11 08:29:34 发布
阅读量196 收藏
点赞数 1
文章标签: 论文阅读 笔记 安全 神经网络 可信计算技术 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56406979/article/details/131565965
版权

Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

1、Introduction

  • 拜占庭鲁棒联邦学习简介

  • 现有的data poisoning attacks 效果差

  • local model poisoning attacks简介

在这里插入图片描述

  • 主要贡献:

    1. 对拜占庭-鲁棒联邦学习进行了第一次系统研究
    2. 提出了localmodel poisoning attacks
    3. 结合了两种现有的防御方式

2、 Background and Problem Formulation

  • 联邦学习三步:

    1. master device发送现有的全局模型参数到worker devices
    2. worker devices通过自己的本地训练集更新参数,完成后发送给master device
    3. master device聚合本地模型得到一个新的全局模型

  • 拜占庭-鲁棒聚集规则

    1. Krum and Bulyan***(存疑)***

      在m个本地模型中选一个最相似的作为全局模型

    2. Trimmed mean

      先去掉2β个极大&极小模型参数,再对剩下的求平均

      (β一般要≥compromised worker的数量,<worker总数的一半)

    3. Median

      先去掉2β个极大&极小模型参数,再找到剩下数据中的中位数

  • 问题定义和攻击模型

    目标是使global model朝着无攻击方向最相反的方向偏移

    攻击者能力:

    1. 是否知道聚集规则
    2. full knowledge or partial knowledge

3、Our Local Model Poisoning Attacks

  • 优化问题
    在这里插入图片描述

    前c个为compromised workers,控制w_1`到w_c`,目的是使得s(全局模型参数变化方向的列向量)最大化。

  • Attacking Krum

    ​ 首先,将 w’_1 限制如下:w’_1=w_Re-λs,其中 w_Re 是当前迭代中从主设备接收的全局模型(即上一次迭代中获得的全局模型),并且λ> 0。其次,为使 w_1 更有可能被 Krum 选择,将其他 c-1 折衷的局部模型设计为接近 w’_1

在这里插入图片描述

full knowledge和partial knowledge的区别就是一个用全部的模型参数预估s、一个用compromised workers预估s

  • Attacking Trimmed Mean

    ​ 在full knowledge下,如果 s_j = -1,那么将在间隔 [w_(max,j) ,b·w_(max,j) ] 中随机采样 c 个数字,否则,将以[w_(min,j)/ b, w_(min,j)] 间隔对 c 个数字进行随机采样。Our attack does not depend on b once b > 1. In our experiments, we set b = 2.

    ​ 在partical knowledge下,使用compromised workers上的局部模型来估算变化方向的变量和w_(max,j)、w_(min,j)

  • Attacking Median

    和Attacking Trimmed Mean几乎相同

4、Evaluation

  • 实验基本设置

    数据集采用 MNIST, FashionMNIST, CH-MNIST and Breast Cancer Wisconsin (Diagnostic) 这四个。

    机器学习分类:(存疑)

    ​ 1、Multi-class logistic regression (LR) 多类逻辑回归

    ​ 2、Deep neural networks (DNN)深度神经网络

  • 对比攻击

    • 高斯攻击

      用compromised workers的参数构造一个高斯分布,用其中特定的数字作为局部模型参数

    • 标签反转攻击

      即字面意义的换标签

    • 基于反向梯度优化的攻击

      存疑

    • 全部知识攻击和部分知识攻击(本文)

      参数设置如图所示:

在这里插入图片描述

  • 攻击结果

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-igBFmPt6-1688571855490)(D:\typora\photograph\image-20220914222137101.png)]

    使用本文的攻击方法得到的错误率大多显著高于其他已知的攻击方法

  • 其他因素对于实验结果的影响

    ​ 如随机梯度下降轮数、worker devices数目、compromised workers数目、修剪均值攻击中的β、Krum中的参数以及中毒迭代的占比

  • Results for Unknown Aggregation Rule

    对于未知聚集规则,本攻击具有可移植性

在这里插入图片描述

  • 与基于反向梯度优化的攻击的对比

在这里插入图片描述

5、Defenses

  • Error Rate based Rejection (ERR)

    ​ 删除了对全局模型的错误率具有较大负面影响的局部模型(受 RONI 的启发,后者删除了对模型的错误率具有较大负面影响的训练示例)

  • Loss Function based Rejection (LFR)

    ​ 删除了导致大量损失的局部模型(受 TRIM 的启发,删除了对损失有较大负面影响的训练示例)

  • Union (i.e., ERR+LFR)

防御结果:Union>LFR>ERR,但仍然有些情况无法防御
在这里插入图片描述

6、Future Work

  • 对定向攻击的研究

  • 对本文攻击的防御手段的研究

M1LKzzz
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Federated learning 框架——leaf 探坑记录
simooooon的博客
02-16 2292
leaf是一个联邦学习的框架,来自CMU,官网:https://leaf.cmu.edu/build/html/index.html Github:https://github.com/TalwalkarLab/leaf/pulls 1、安装与配置环境 首先要在Github上下载leaf,之后安装 requirements.txt中列出的 libraries。 这里面有几个坑:...
Federated learning联合学习(1)-基础知识
u014493140的博客
02-18 1629
摘抄 Federated learning (aka collaborative learning) is a machine learning technique that trains an algorithm across multiple decentralized edge devices or servers holding local data samples, without ex...
联邦学习模型鲁棒性攻击
m0_50609661的博客
04-28 4969
【2019arXiv】Advances and Open Problems in Federated Learning 1.攻击者的目标和能力 目标: 1)非目标攻击:旨在降低模型的全局准确性,或“完全破坏”全局模型; 2)目标攻击(后门攻击):其目的是在少数示例上改变模型的行为,同时在所有其他示例上保持良好的总体准确性。例如,在图片中加入水印(后门),此水印指向一个特定的分类,使某类图片分类错误;语义后门,攻击者的模型更新迫使训练有素的模型在一小部分数据上学习错误的映射。例如,对手可能会迫使模
论文阅读笔记Local Model Poisoning Attacks to Byzantine-Robust Federated Learning
leticia_m的博客
06-14 2781
个人阅读笔记,如有错误欢迎指出!
2020年4大安全会议及论文
sinat_34996559的博客
01-05 4803
1会议介绍 1.1 NDSS会议 网络和分布式系统安全研讨会(NDSS)促进了网络和分布式系统安全的研究人员和从业人员之间的信息交换。目标受众包括对网络和分布式系统安全性的实际方面感兴趣的人员,并着重于实际的系统设计和实现。一个主要目标是鼓励和使Internet社区能够应用,部署和提高可用安全技术的状态。 1.2 S&P会议 IEEE Symposium on Security and Privacy(简称 S&P)创办于1980年,是信息安全领域四大顶级学术会议之一,也是信息安全
NDSS 2021 论文泛读
热门推荐
^_^
10-22 1万+
会议论文列表:https://dblp.uni-trier.de/db/conf/ndss/ndss2021.html 只挑了几个感兴趣的session过了一遍,还是发现了不少有意思的文章。 文章目录程序分析模糊测试侧信道智能家居软件防御嵌入式安全可信计算 程序分析 Towards Measuring Supply Chain Attacks on Package Managers for Interpreted Languages. 简介:qualitative assessment!(定性评估) 包管理
人工智能matlabmnist代码-Poisoning-Attacks-with-Back-gradient-Optimization:论文
05-26
Matlab代码以及该论文中描述的中毒攻击示例该代码包括针对Adaline,Logistic回归和针对MNIST数据集的小型多层感知器的攻击(使用数字1和7)。 用 要生成随机训练/验证拆分,请首先在“ MNIST_splits”文件夹中运行...
推荐相关最新论文集-WWW2020
04-25
在机器学习领域,推荐系统是应用广泛且研究活跃的一个分支,尤其在电子商务、社交媒体和个性化信息服务中发挥...通过深入阅读和分析这些论文,我们可以洞察推荐系统领域的最新进展,并为未来的研究和应用找到新的思路。
Man-in-the-browser-cache: Persisting HTTPS attacks via browser cache poisoning
02-06
在这篇研究论文中,作者Yaoqi Jia、Yue Chen、Xinshu Dong、Prateek Saxena、Jian Mao和Zhenkai Liang详细探讨了这种攻击方式,并分析了主流桌面浏览器和移动浏览器的易受攻击性。 在BCP攻击中,攻击者通过一次MITM...
-Injection-Poisoning-Binary-Translation-Cache.pdf
11-17
AS-23-Koh-Dirty-Bin-Cache-A-New-Code-Injection-Poisoning-Binary-Translation-Cache
Embedding-Poisoning:论文代码“小心中毒的单词嵌入
03-30
论文代码请小心中毒的单词嵌入:探索NLP模型中嵌入层的漏洞(NAACL-HLT 2021) 当前的后门攻击方法要求攻击者可以获取干净的与任务相关的数据集以进行数据中毒。 当攻击者无法访问适当的数据集时,这可能是一个至关...
小白学区块链技术
csyifanZhang的博客
03-06 614
最近看文章时,发现FL经常和区块链相结合,可惜小孱弱上了三年大学也只是听说过区块链,并没有真正了解过,简单的学习一下,否则论文也看不下去了。 区块链就是通过密码学的方式形成的一个由集体维护的分布式数据库。 听不懂?没关系,且往下看… 在解释区块链具体是什么东西之前我认为最核心的是要知道“我们为什么要用区块链技术”。 1、区块链的诞生是为了解决什么问题? 在支付宝转账的时候,作为用户的你感觉是把你的...
综述论文Federated Learning Systems: Vision, Hype and Reality for Data Privacy and Protection“
yorkhunter的博客
01-15 1663
2019年12月3日上载到arXiv关于联邦学习的综述论文”A Survey on Federated Learning Systems: Vision, Hype and Reality for Data Privacy and Protection“。 摘要:联邦学习一直是在隐私限制下实现不同组织之间机器学习模型协作训练的热门研究领域。随着研究人员尝试使用不同的隐私保护方法来支持更多的机器学...
论文阅读】Characterization of Large Language Model Development in the Datacenter
weixin_46091520的博客
07-10 829
大语言模型(LLMs)在许多任务中表现出色。然而,要高效利用大规模集群资源开发LLM并非易事,常常伴随着频繁的硬件故障、复杂的并行化策略和资源利用不平衡等诸多挑战。为此,我们针对Acme GPU数据中心在为期六个月的LLM开发工作负载中所累积的跟踪数据,进行了一次深入的特征分析研究。我们特别探讨了LLM与以往深度学习(DL)工作负载之间的差异,研究了资源利用模式,分析了各种任务失败的影响,总结了所遇到的难题,并揭示了优化LLM系统的潜在机会。
In Search of Lost Online Test-time Adaptation: A Survey--论文笔记
dezwb的博客
07-08 991
本文介绍了在线测试时间适应(online test-time adaptation,OTTA)的全面调查,OTTA是一种专注于使机器学习模型适应批量到达时的新数据分布的新方法。尽管最近OTTA方法得到了广泛应用,但该领域仍陷入了诸如模糊设置、过时的主干网络和不一致的超参数调优等问题,这些问题混淆了真正的挑战,并使可重复性难以捉摸。为了清晰和严格的比较,我们将OTTA技术分为三个主要类别,并使用强大的视觉转换(ViT)主干对它们进行基准测试,以发现真正有效的策略。
论文阅读笔记】ASPS: Augmented Segment Anything Model for Polyp Segmentation
qq_46056318的博客
07-08 658
ASPS:用于息肉分割的扩展SAM模型2024年 arxivPaperCode息肉分割在结直肠癌诊断中起着至关重要的作用。最近,Segment Anything Model(SAM)的出现利用其在大规模数据集上的强大预训练能力,为息肉分割带来了前所未有的潜力。然而,由于自然图像和内窥镜图像之间的区域差距,SAM在实现有效的息肉分割方面遇到了两个限制。首先,它的基于变压器的结构优先考虑全局和低频信息,可能会忽略局部细节,并在学习的特征中引入偏差。
Efficient Estimation of Word Representations in Vector Space论文笔记解读
m0_52775136的博客
07-09 566
将输出层的单词表示为一个二叉树,其中每个叶子节点都表示一个单词。每个非叶子节点都表示两个子节点的内积,每个叶子节点都表示该单词的条件概率。对于给定的一对(中心单词,上下文单词),我们希望最大化它们的共现概率。最后输出V个概率,复杂度比较高,采用了2重方法降低复杂度,分别是层次softmax和负采样。Word2vec的向量表示能够自动捕捉到单词之间的语义和语法关系。舍弃多分类,把多分类转变成二分类问题(正样本和负样本)。用周围词预测中心词,求和的时候忽略了每个词的顺序。增大正样本的概率,减小负样本的概率。
论文阅读 - Intriguing properties of neural networks
m0_52739647的博客
07-08 753
经典论文、对抗样本领域的开山之作发布时间:2014论文链接: https://arxiv.org/pdf/1312.6199.pdf作者:Christian Szegedy, Wojciech Zaremba, Ilya Sutskever, Joan Bruna, Dumitru Erhan, Ian Goodfellow, Rob Fergus写在前面:该文章已经发表10年了,该领域的发展十分迅速,本文中的一些观点可能并不准确。
[论文笔记]涨点近5%! 以内容中心的检索增强生成可扩展的级联框架:Pistis-RAG
最新发布
日积月累,天道酬勤
07-11 667
⭐ 作者提出了一个新颖的框架,以内容为中心。该框架包括不同的阶段:匹配、预排名、排名、多路径推理和聚合。其中包含了很多工程细节,值得参考。但没有看到总体耗时相关的描述以及整体代码,可能耗时会相对较长。
poison frogs! targeted clean-label poisoning attacks on neural networks复现
10-22
Poison frogs! targeted clean-label poisoning attacks on neural networks”这是一个关于对神经网络进行有针对性的干净标签中毒攻击的研究项目。在这种攻击中,研究人员通过修改训练数据集中的特定标签,以欺骗神经网络模型以误分类输入样本。 干净标签中毒攻击是一种隐蔽的攻击方式,因为攻击者不需要修改图像本身或添加任何可见的攻击标记。相反,他们通过对训练数据集进行精心设计的修改,使神经网络在应用中出现错误分类。这种攻击方法可能会导致严重后果,例如在自动驾驶汽车或安全系统中造成事故或功能失效。 这个项目的目的是研究这种攻击方法的可行性和效果,并提出对抗这种攻击的解决方案。研究人员首先对训练数据集进行修改,以使特定类别的图像被误分类为其他类别。然后,他们使用已经训练好的神经网络模型,通过修改训练数据集中的特定图像标签,使模型在测试阶段错误地将这些特定图像分类为不同的类别。 结果表明,即使在高性能的神经网络上进行干净标签中毒攻击也是可行的。这些攻击可以在不影响模型在其他正常输入上性能的情况下,误导模型对特定图像的分类。这使得攻击者能够操纵模型的行为,甚至可能导致系统的安全漏洞和错误决策。 为了对抗这种攻击,研究人员提出了一种改进的训练策略,称为“防御机制”。这种方法可以增强模型对干净标签中毒攻击的鲁棒性,并提供了一种有效的方法来检测和解决这种攻击。 总体而言,这个项目揭示了干净标签中毒攻击在神经网络中的潜在威胁,并提供了对抗这种攻击的解决方案。这有助于进一步加强神经网络模型在面临安全挑战时的鲁棒性,并推动相关领域的研究和技术发展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值