Fabricated Flips: Poisoning Federated Learning without Data

要約

Federated Learning (FL) に対する攻撃は、生成されたモデルの品質を大幅に低下させ、オンプレミスの分散学習を可能にするこの新たな学習パラダイムの有用性を制限する可能性があります。
ただし、既存のターゲットを絞らない攻撃は、i) 攻撃者が無害なクライアントのすべての更新を知っている、または ii) 攻撃者が無害な当事者を模倣した更新をローカルにトレーニングするための大規模なデータセットを持っていることを前提としているため、多くのシナリオでは実用的ではありません。
この論文では、無害なクライアントの送信をまったく盗聴したり、タスク固有の大量のトレーニング データを必要とせずに、悪意のあるデータを合成して敵対的モデルを作成する、データフリーの非標的型攻撃 (DFA) を提案します。
私たちは、DFA の 2 つのバリアント、つまり DFA-R と DFA-G を設計しています。これらは、ステルス性と有効性をトレードオフする方法が異なります。
具体的には、DFA-R は悪意のあるデータ レイヤーを繰り返し最適化して、グローバル モデルのすべての出力の予測信頼度を最小限に抑えます。一方、DFA-G は、グローバル モデルの出力を特定のクラスに向けることによって、悪意のあるデータ ジェネレーター ネットワークを対話的にトレーニングします。
Fashion-MNIST、Cifar-10、SVHN に関する実験結果では、DFA は、既存の攻撃よりも少ない前提条件にもかかわらず、さまざまな最先端の攻撃に対する最先端の対象外攻撃と同等かそれ以上の攻撃成功率を達成することを示しています。
-芸術の防御メカニズム。
具体的には、CIFAR-10 のケースの少なくとも 50% で、考慮されたすべての防御メカニズムを回避できますが、多くの場合、精度が 2 倍以上低下します。その結果、データフリーから保護するために特別に作られた防御である REFD を設計します。
攻撃します。
REFD は参照データセットを利用して、偏った更新や信頼性の低い更新を検出します。
悪意のあるアップデートをフィルタリングして除外することで既存の防御を大幅に改善し、グローバルなモデルの高い精度を実現します。

要約(オリジナル)

Attacks on Federated Learning (FL) can severely reduce the quality of the generated models and limit the usefulness of this emerging learning paradigm that enables on-premise decentralized learning. However, existing untargeted attacks are not practical for many scenarios as they assume that i) the attacker knows every update of benign clients, or ii) the attacker has a large dataset to locally train updates imitating benign parties. In this paper, we propose a data-free untargeted attack (DFA) that synthesizes malicious data to craft adversarial models without eavesdropping on the transmission of benign clients at all or requiring a large quantity of task-specific training data. We design two variants of DFA, namely DFA-R and DFA-G, which differ in how they trade off stealthiness and effectiveness. Specifically, DFA-R iteratively optimizes a malicious data layer to minimize the prediction confidence of all outputs of the global model, whereas DFA-G interactively trains a malicious data generator network by steering the output of the global model toward a particular class. Experimental results on Fashion-MNIST, Cifar-10, and SVHN show that DFA, despite requiring fewer assumptions than existing attacks, achieves similar or even higher attack success rate than state-of-the-art untargeted attacks against various state-of-the-art defense mechanisms. Concretely, they can evade all considered defense mechanisms in at least 50% of the cases for CIFAR-10 and often reduce the accuracy by more than a factor of 2. Consequently, we design REFD, a defense specifically crafted to protect against data-free attacks. REFD leverages a reference dataset to detect updates that are biased or have a low confidence. It greatly improves upon existing defenses by filtering out the malicious updates and achieves high global model accuracy

arxiv情報

著者 Jiyue Huang,Zilong Zhao,Lydia Y. Chen,Stefanie Roos
発行日 2023-08-02 16:27:26+00:00
arxivサイト arxiv_id(pdf)

提供元, 利用サービス

arxiv.jp, Google

カテゴリー: cs.AI, cs.CR, cs.LG パーマリンク