LearnDefend: Learning to Defend against Targeted Model-Poisoning Attacks on Federated Learning

要約

タイトル：Federated Learningにおけるターゲットモデルポイズニング攻撃に対する学習防御：LearnDefend

要約：
– ターゲットモデルポイズニング攻撃は、Federated Learningシステムに重大な脅威を与える。
– この攻撃は、入力空間の一部に対してのみ行われるため、既存の固定防御戦略ではほぼ不可能であることが最近の研究で明らかになった。
– 本論文では、中央機関が収集した小規模な防御データセットを使用して、このような攻撃に対する学習防御戦略を設計することを目指す。
– 提案されたフレームワークであるLearnDefendは、クライアントの更新がマルウェアである可能性を評価する。
– 防御データセット内の例は、マークされたマルウェアまたはクリーンなデータでなくてもよい。
– 我々は、防御データセット内の各例がクリーンまたは汚染されたかをマークするのに使用できる汚染データ検出モデルも学習する。
– 我々は、汚染データ検出器とクライアント重要度モデルを相互に最適化することにより、二つのモデルを推定する。
– 我々の実験は、LearnDefendが既存の固定防御戦略が失敗する最新の攻撃に対して防御することができることを示し、また防御データセット内のクリーンなデータのマーキングのサイズとノイズに対して堅牢であることを示す。

要約(オリジナル)

Targeted model poisoning attacks pose a significant threat to federated learning systems. Recent studies show that edge-case targeted attacks, which target a small fraction of the input space are nearly impossible to counter using existing fixed defense strategies. In this paper, we strive to design a learned-defense strategy against such attacks, using a small defense dataset. The defense dataset can be collected by the central authority of the federated learning task, and should contain a mix of poisoned and clean examples. The proposed framework, LearnDefend, estimates the probability of a client update being malicious. The examples in defense dataset need not be pre-marked as poisoned or clean. We also learn a poisoned data detector model which can be used to mark each example in the defense dataset as clean or poisoned. We estimate the poisoned data detector and the client importance models in a coupled optimization approach. Our experiments demonstrate that LearnDefend is capable of defending against state-of-the-art attacks where existing fixed defense strategies fail. We also show that LearnDefend is robust to size and noise in the marking of clean examples in the defense dataset.

arxiv情報

提供元, 利用サービス

arxiv.jp, OpenAI