摘要:
基于分布式多方数据的联合学习是一种新兴的范式,它迭代地聚合来自一组设备的更新以训练一个全球共享的模型。然而,依靠一组设备为女巫攻击打开了大门:恶意设备可能由单个攻击者控制,该攻击者指挥这些设备攻击系统。
我们考虑了联邦学习对女巫攻击的敏感性,并在这种情况下提出了女巫目标和策略的分类。我们描述了一种新的 DoS 攻击,我们称之为训练膨胀,并提出了几种执行这种攻击的方法。然后,我们评估最近的分布式 ML 容错提议,并表明这些提议不足以缓解几种基于 sybil 的攻击。最后,我们引入了一种针对基于 sybil 的中毒的防御方法,称为 FoolsGold,它根据客户端更新的多样性来识别 sybil。我们表明,在应对多种类型的中毒攻击时,FoolsGold 超越了最先进的方法。我们的工作是开源的,可以在线获取:https://github.com/DistributedML/FoolsGold
Published:
23rd International Symposium on Research in Attacks, Intrusions and Defenses
本文贡献:
- 提供了针对联邦学习的基于女巫攻击的分类法,其中包括根据女巫策略对现有FL攻击进行配对。贡献了一种称之为训练膨胀的新型 DoS 攻击。
- 评估了针对 ML 的基于恶意 sybil 攻击的现有防御措施(Multi-Krum、median、 trimmed mean)。
- 为联邦学习设计、实施和评估了一种针对基于女巫的针对性中毒攻击的新防御方法,该防御方法使用基于客户端间贡献相似性的每个客户端的自适应学习率。
- 在勾结女巫的背景下,我们设计和评估通过女巫执行的智能中毒攻击,并证明 FoolsGold 可以防御它们,同时提出进一步缓解的策略。
联邦学习:新的威胁模型
联邦学习允许客户端加入和离开,容易收到Sybil攻击。在Sybil攻击中,敌手通过使用多个串通别名加入系统来造成影响。
虽然攻击者对FL系统的影响可能随着Sybil的增加而增加,但Sybil从系统中获得的信息保持不变:全局模型的快照。因此,攻击策略更加有限。
攻击类型
Model Quality
修改训练后模型的性能。
Poisoning Attacks
标签反转攻击(Label-flipping attack)
Backdoor Attacks
Privacy
推理攻击(Inference attacks)
联邦学习机制要求所有参与者通过在本地数据集训练全局模型用于上传梯度。在这种情况下,如果联邦学习系统中存在一个非可信且知识丰富的服务器,则无法保证用户的隐私数据信息。这种非可信服务器可以获取大量涉及每个参与者的局部训练模型的辅助知识(如模型结构、用户身份和梯度),并且有足够的能力进行用户隐私信息泄露。
成员推断攻击:利用漏洞,敌手可以推断出某个确定数据点的是否存在。
属性推理攻击:利用漏洞去推测出训练数据集独立于机器学习任务之外的特征。
Utility
搭便车攻击(Free-riding attacks)
搭便车攻击是一种被动的攻击方式,指的是参与联邦学习的用户只利用全局模型来更新自己的本地模型而拒绝向全局模型提供有价值的本地信息。
Resource
延长训练时间,从而消耗服务器和客户端上的共享资源
Training inflation
Sybil攻击策略
现有防御工作的有限性
现有防御都是聚合统计
- Multi-Krum
- Bulyan
- Trimmed Mean/Median
攻击者数量有限
不能防御Sybil Attack。一旦Sybil数量超过防御阈值,防御就失效了。
集中在Poisoning Attack
不能防御其他攻击,如Training Inflation等
协同对手可以任意操纵联邦学习过程的长度
攻击按Sybil策略分类
FoolsGold设计
假设
- Non i.i.d 联邦学习设置
- FL 系统中至少有一个诚实的客户端
- 服务器可以观察所有模型更新(非安全聚合)
算法
- 从每个客户端收集模型更新历史记录
- 计算特征显着性
- 客户端之间的成对余弦相似性
- 通过反logit函数进行归一化(确保所有权重分布在 0-1 范围内)
- 降低高度相似贡献的学习率
评估FoolsGold
典型实验
- 攻击场景:
- 定义的源和目标类攻击
- Sybils加入 FL 系统并执行有针对性的投毒
- 具有相同中毒数据集的不协调攻击
- 单个攻击者、N 个攻击者、99% 攻击者等
- 数据集/模型:
- MNIST - softmax (图像数据)
- VGGFace2 - Squeezenet DNN (多通道图像数据)
结论
● FoolsGold 不会干扰良性设置
● FoolsGold 防御越来越多的女巫
● 针对单一攻击者的性能较差
IID场景
结论
即使更多i.i.d,FoolsGold 也可以区分女巫和诚实的客户
智能攻击者
问题
- 如果攻击者更强怎么办?
- 他们知道FoolsGold算法
- 他们可以在每次迭代中进行协调 - 通过增加女巫之间的差异来绕过 FoolsGold
- 使用正交扰动修改模型更新
- 阻止中毒攻击以避免被发现
How
- 限制恶意模型更新频率
- 监测FoolsGold的相似性
- 只有当相似度低于M时才会下毒
- Too often: 被FoolsGold检测到 (M>0.25)
- Too infrequent:无法压倒系统中的诚实客户
- M越低,成功需要更多的女巫
- 还需要估计诚实的客户数据分布