【论文笔记】The Limitations of Federated Learning in Sybil Settings

最新推荐文章于 2023-04-25 16:37:12 发布
最新推荐文章于 2023-04-25 16:37:12 发布
阅读量1.4k 收藏 4
点赞数
分类专栏: 数据科学 文章标签: 论文阅读
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43747691/article/details/127662463
版权

摘要:

基于分布式多方数据的联合学习是一种新兴的范式,它迭代地聚合来自一组设备的更新以训练一个全球共享的模型。然而,依靠一组设备为女巫攻击打开了大门:恶意设备可能由单个攻击者控制,该攻击者指挥这些设备攻击系统。

我们考虑了联邦学习对女巫攻击的敏感性,并在这种情况下提出了女巫目标和策略的分类。我们描述了一种新的 DoS 攻击,我们称之为训练膨胀,并提出了几种执行这种攻击的方法。然后,我们评估最近的分布式 ML 容错提议,并表明这些提议不足以缓解几种基于 sybil 的攻击。最后,我们引入了一种针对基于 sybil 的中毒的防御方法,称为 FoolsGold,它根据客户端更新的多样性来识别 sybil。我们表明,在应对多种类型的中毒攻击时,FoolsGold 超越了最先进的方法。我们的工作是开源的,可以在线获取:https://github.com/DistributedML/FoolsGold

Published:

23rd International Symposium on Research in Attacks, Intrusions and Defenses

本文贡献:

  1. 提供了针对联邦学习的基于女巫攻击的分类法,其中包括根据女巫策略对现有FL攻击进行配对。贡献了一种称之为训练膨胀的新型 DoS 攻击。
  2. 评估了针对 ML 的基于恶意 sybil 攻击的现有防御措施(Multi-Krum、median、 trimmed mean)。
  3. 为联邦学习设计、实施和评估了一种针对基于女巫的针对性中毒攻击的新防御方法,该防御方法使用基于客户端间贡献相似性的每个客户端的自适应学习率。
  4. 在勾结女巫的背景下,我们设计和评估通过女巫执行的智能中毒攻击,并证明 FoolsGold 可以防御它们,同时提出进一步缓解的策略。

联邦学习:新的威胁模型

联邦学习允许客户端加入和离开,容易收到Sybil攻击。在Sybil攻击中,敌手通过使用多个串通别名加入系统来造成影响。

虽然攻击者对FL系统的影响可能随着Sybil的增加而增加,但Sybil从系统中获得的信息保持不变:全局模型的快照。因此,攻击策略更加有限。

攻击类型

在这里插入图片描述

Model Quality

修改训练后模型的性能。

Poisoning Attacks

标签反转攻击(Label-flipping attack)
在这里插入图片描述

Backdoor Attacks

在这里插入图片描述

Privacy

推理攻击(Inference attacks)

联邦学习机制要求所有参与者通过在本地数据集训练全局模型用于上传梯度。在这种情况下,如果联邦学习系统中存在一个非可信且知识丰富的服务器,则无法保证用户的隐私数据信息。这种非可信服务器可以获取大量涉及每个参与者的局部训练模型的辅助知识(如模型结构、用户身份和梯度),并且有足够的能力进行用户隐私信息泄露。

成员推断攻击:利用漏洞,敌手可以推断出某个确定数据点的是否存在。

属性推理攻击:利用漏洞去推测出训练数据集独立于机器学习任务之外的特征。

Utility

搭便车攻击(Free-riding attacks)

搭便车攻击是一种被动的攻击方式,指的是参与联邦学习的用户只利用全局模型来更新自己的本地模型而拒绝向全局模型提供有价值的本地信息。

Resource

延长训练时间,从而消耗服务器和客户端上的共享资源

Training inflation

Sybil攻击策略

在这里插入图片描述

现有防御工作的有限性

现有防御都是聚合统计

  • Multi-Krum
  • Bulyan
  • Trimmed Mean/Median

攻击者数量有限

在这里插入图片描述

不能防御Sybil Attack。一旦Sybil数量超过防御阈值,防御就失效了。

集中在Poisoning Attack

不能防御其他攻击,如Training Inflation等

在这里插入图片描述

协同对手可以任意操纵联邦学习过程的长度

攻击按Sybil策略分类

在这里插入图片描述

FoolsGold设计

假设

  1. Non i.i.d 联邦学习设置
  2. FL 系统中至少有一个诚实的客户端
  3. 服务器可以观察所有模型更新(非安全聚合)

算法

在这里插入图片描述

  1. 从每个客户端收集模型更新历史记录
  2. 计算特征显着性
  3. 客户端之间的成对余弦相似性
  4. 通过反logit函数进行归一化(确保所有权重分布在 0-1 范围内)
  5. 降低高度相似贡献的学习率

评估FoolsGold

典型实验

  1. 攻击场景:
    • 定义的源和目标类攻击
    • Sybils加入 FL 系统并执行有针对性的投毒
  2. 具有相同中毒数据集的不协调攻击
  3. 单个攻击者、N 个攻击者、99% 攻击者等
  4. 数据集/模型:
    • MNIST - softmax (图像数据)
    • VGGFace2 - Squeezenet DNN (多通道图像数据)

在这里插入图片描述

结论

● FoolsGold 不会干扰良性设置

● FoolsGold 防御越来越多的女巫

● 针对单一攻击者的性能较差

IID场景

在这里插入图片描述

结论

即使更多i.i.d,FoolsGold 也可以区分女巫和诚实的客户

智能攻击者

问题

  1. 如果攻击者更强怎么办?
    - 他们知道FoolsGold算法
    - 他们可以在每次迭代中进行协调
  2. 通过增加女巫之间的差异来绕过 FoolsGold
    • 使用正交扰动修改模型更新
    • 阻止中毒攻击以避免被发现

How

  1. 限制恶意模型更新频率
    • 监测FoolsGold的相似性
    • 只有当相似度低于M时才会下毒
  2. Too often: 被FoolsGold检测到 (M>0.25)
  3. Too infrequent:无法压倒系统中的诚实客户
  4. M越低,成功需要更多的女巫
    • 还需要估计诚实的客户数据分布
AltmanChan
关注
专栏目录
The Limitations of Deep Learning in Adversarial Settings笔记
u013488509的博客
09-19 2792
这篇文章主要提出一个根据雅可比矩阵,即前向导数生成对抗样本的方法。论文一开始从一个简单神经网络入手,学习一个AND计算F(X) = x1 and x2,即0.7^0.3=0,  0.8^0.6=1。训练后,可得出下图: 接下来,对F(x)进行求导,因为呈对称,所以对一个求导就可以了,下图为对x2求导得出的结果图: 在尖峰附近,即在导数相对较大的地方,如X=(1,0.37)处,考虑X...
Mitigating Sybils in Federated Learning Poisoning(FoolsGold)论文阅读笔记
最新发布
m0_53662700的博客
01-12 856
在本文中,我们首先评估了联邦学习对sybil-base的中毒攻击的脆弱性。然后我们描述了FoolsGold,这是一种针对该问题的新颖防御方法,它基于分布式学习过程中客户端更新的多样性来识别中毒sybil。与以前的工作不同,我们的系统不限制预期的攻击者数量,不需要学习过程之外的辅助信息,并且对客户端及其数据做出更少的假设。在我们的评估中,我们表明FoolsGold超越了现有最先进的方法来对抗基于符号的标签翻转和后门中毒攻击的能力。我们的结果适用于不同的客户数据分布、不同的中毒目标和不同的攻击策略。
READ-2307 The Limitations of Federated Learning in Sybil Settings
m0_51638853的博客
03-01 908
在攻击者数量较少时假阳率较高在恶意客户端较多时假阴率较高因此,我认为,如果从相似度的角度进行防御,我们不仅需要思考恶意客户端和良性客户端之间的区别,还需要思考恶意客户端之间的共性和良性客户端的共性。用分类问题的思想来思考,就是需要增大类间距,缩小类内距。同时,尽管 FoolsGold 在对抗有目标投毒攻击方面表现出色,但不能很好地捍卫其他基于女巫的策略,如协同攻击、适应性攻击、智能扰动、分布式后门。
论文阅读笔记】The Limitations of Federated Learning in Sybil Settings
leticia_m的博客
04-25 886
个人阅读笔记,如有错误欢迎指正。
FL中隐私和安全性问题
sleepinghm的博客
10-13 1894
A.隐私保护 FL的主要目标之一是保护参与者的隐私,参与者只需要共享训练模型的参数,而不需要共享他们的实际数据。然而,最近的一些研究表明,恶意的参与者仍然可以根据他们共享的模型从其他参与者那里推断出敏感信息,例如性别、职业和位置。例如,在[137]中,当在FaceScrub[138]数据集上训练一个二元性别分类器时,作者表明,他们可以通过检查共享模型来推断某个参与者的输入是否包含在数据集中,其准确...
联邦学习
datacreating的博客
12-02 4591
“联邦学习(Federated Learning)”作为一种加密的分布式机器学习范式,可以使得各方在不披露原始数据的情况下达到共建模型的目的,即在不违反数据隐私保护法规的前提下,连接数据孤岛,建立性能卓越的共有模型。
Deep Entity Classification: Abusive Account Detection for Online Social Networks 阅读笔记
m0_46501404的博客
12-11 945
Deep Entity Classification: Abusive Account Detection for Online Social Networks(深度实体分类:在线社交网络的滥用帐户检测) Abstract:
The use of standard scores in diagnosing learning disabilities: A critique
06-29
The use of standard scores in diagnosing learning disabilities: A critique Psychologv in the Schools Volume 23, October 1986 THE USE OF STANDARD SCORES IN DIAGNOSING LEARNING DISABILITIES: A ...
论文研究-The limitations of optitimizing the FOPA gain by inserting an OBPF.pdf
08-16
本文题为《论文研究-The limitations of optitimizing the FOPA gain by inserting an OBPF.pdf》,作者赵琳琳和余重秀,深入探讨了在光纤参量放大器(FOPA)中插入光学带通滤波器(OBPF)以优化增益性能所存在的...
机器学习在建筑能耗预测中的局限性_Limitations of machine learning for building en
02-02
摘要中的内容揭示了机器学习在建筑能耗预测领域的局限性,主要通过分析ASHRAE Great Energy Predictor III (GEPIII) Kaggle比赛的前50名解决方案的误差源和类型。这个竞赛是迄今为止最大规模的建筑能源计量机器学习...
Python库 | sybil-1.0.1.tar.gz
05-22
资源分类:Python库 所属语言:Python 资源全名:sybil-1.0.1.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
计算模型与算法技术:12-Coping with the Limitations of Algorithm Power.ppt
06-23
在“Coping with the Limitations of Algorithm Power”这个主题中,我们探讨的是如何应对算法能力的局限性,这是一个至关重要的话题,因为算法在现实生活和工程应用中起着关键作用。 首先,我们要理解什么是回溯法...
综述--2020--联邦学习--全文翻译
weixin_41937620的博客
04-07 3984
A survey on security and privacy of federated learning Viraaji Mothukuri a, Reza M. Parizi a, Seyedamin Pouriyeh b, Yan Huang a, Ali Dehghantanha c, Gautam Srivastava d,e,∗ a The Department of Software Engineering and Game Development, Kennesaw State Uni
联邦学习模型鲁棒性攻击
m0_50609661的博客
04-28 5092
【2019arXiv】Advances and Open Problems in Federated Learning 1.攻击者的目标和能力 目标: 1)非目标攻击:旨在降低模型的全局准确性,或“完全破坏”全局模型; 2)目标攻击(后门攻击):其目的是在少数示例上改变模型的行为,同时在所有其他示例上保持良好的总体准确性。例如,在图片中加入水印(后门),此水印指向一个特定的分类,使某类图片分类错误;语义后门,攻击者的模型更新迫使训练有素的模型在一小部分数据上学习错误的映射。例如,对手可能会迫使模
SybilFuse:Combining Local Attributes with Global Structure to Perform Robust Sybil Detect(论文笔记)
麦地与诗人
12-21 499
SybilFuse:Combining Local Attributes withGlobal Structure to Perform Robust Sybil Detection 1. 输入数据 2. 训练局部分类器 利用有区别的局部属性(结构或内容)来训练局部分类器》 2.1 局部节点分类器(Local node classifier ) 局部节点分类器预测每个节点的信任分数(Trus...
论文笔记】A survey on security and privacy of federated learning(综述)
LOG_IN_ME的博客
05-01 2012
我的博客园:https://www.cnblogs.com/MaplesWCT/ A survey on security and privacy of federated learning Authors Viraaji Mothukuri, Reza M. Parizi, Seyedamin Pouriyeh, Yan Huang, Ali Dehghantanha, Gautam Srivastava Keywords Artificial intelligence; Machin.
机器学习-联邦学习安全方面的论文汇总
吴彦祖的博客
02-26 3090
1、最先由谷歌提出联邦学习的概念 KONEČNÝ J, MCMAHAN H B, RAMAGE D, et al. Federated optimization: distributed machine learning for on-device intelligence[J]. arXiv preprint, 2016 2、一种通过小部分原始的梯度信息,反推出原始数据信息的隐私泄露方法 PHONG L T, AONO Y, HAYASHI T, et al. Privacy-preserving
关于The Limitations of Deep Learning in Adversarial Settings的理解
kearney1995的博客
03-27 2566
 与之前的基于提高原始类别标记的损失函数或者降低目标类别标记的损失函数的方式不同,这篇文章提出直接增加神经网络对目标类别的预测值。换句话说,之前的对抗样本的扰动方向都是损失函数的梯度方向(无论是原始类别标记的损失函数还是目标类别标记的损失函数),该论文生成的对抗样本的扰动方向是目标类别标记的预测值的梯度方向,作者将这个梯度称为前向梯度(forward derivative)。即: ∇F(X)=∂...
论文那些事—The Limitations of Deep Learningin Adversarial Settings
shuweishuwei的博客
09-23 694
论文标题:对抗环境下深度学习的局限性 1、摘要
the limitations of deep learning in adversarial settings
03-16
深度学习在对抗性环境中的局限性包括以下几个方面: 1. 对抗性样本的生成:深度学习模型容易受到对抗性样本的攻击,这些样本是经过特定的修改,以欺骗模型的方式来误导其预测结果。这些攻击可能会导致模型的性能下降,甚至完全失效。 2. 对抗性样本的泛化:深度学习模型在训练时可能会过度拟合训练数据,导致其对新的对抗性样本的泛化能力较弱。这意味着即使模型在训练数据上表现良好,也可能无法在实际应用中有效地应对对抗性攻击。 3. 对抗性样本的检测:深度学习模型在对抗性样本的检测方面存在一定的局限性。由于对抗性样本的生成方式多种多样,模型可能无法准确地检测出所有的对抗性样本。 4. 对抗性攻击的防御:深度学习模型在对抗性攻击的防御方面也存在一定的局限性。虽然有一些防御方法可以减轻对抗性攻击的影响,但是这些方法并不能完全消除对抗性攻击的影响。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值