要約
フェデレーテッド・ラーニング(FL)は、信頼できるアグリゲーション・サーバーを使用する分散学習プロセスであり、複数の関係者(またはクライアント)がプライベートデータを共有することなく、機械学習モデルを共同で学習することができる。しかし、最近の研究では、FLに対する推論攻撃とポイズニング攻撃の有効性が実証されている。この2つの攻撃を同時に軽減することは非常に困難である。最新のソリューションでは、セキュア・マルチ・パーティ・コンピューティング(SMPC)やディファレンシャル・プライバシー(DP)を用いたポイズニング防御が提案されている。しかし、これらの技術は効率的ではなく、攻撃の背後にある悪意、つまり、敵対者(好奇心旺盛なサーバーおよび/または侵害されたクライアント)が収益化目的のためにシステムを悪用しようとしていることに対処できません。これらの制限を克服するために、私たちはFLEDGEとして知られる元帳ベースのFLフレームワークを提示します。このフレームワークは、当事者の行動に説明責任を持たせることを可能にし、推論とポイズニング攻撃を軽減するための合理的な効率を達成します。我々のソリューションは暗号通貨を活用し、悪意のある行動にはペナルティを、善意の行動には報酬を与えることで、当事者のアカウンタビリティを高めている。4つの公開データセットで広範な評価を行う:Reddit、MNIST、Fashion-MNIST、CIFAR-10である。我々の実験結果は、(1)FLEDGEはモデルの有用性を犠牲にすることなく、モデル更新のための強力なプライバシー保証を提供すること、(2)FLEDGEはグローバルモデルの性能を低下させることなく、様々なポイズニング攻撃を軽減することに成功すること、(3)FLEDGEはモデル学習中および/またはモデル集約中の善良な行動を促進するためのユニークな報酬メカニズムを提供することを実証しています。
要約(オリジナル)
Federated learning (FL) is a distributed learning process that uses a trusted aggregation server to allow multiple parties (or clients) to collaboratively train a machine learning model without having them share their private data. Recent research, however, has demonstrated the effectiveness of inference and poisoning attacks on FL. Mitigating both attacks simultaneously is very challenging. State-of-the-art solutions have proposed the use of poisoning defenses with Secure Multi-Party Computation (SMPC) and/or Differential Privacy (DP). However, these techniques are not efficient and fail to address the malicious intent behind the attacks, i.e., adversaries (curious servers and/or compromised clients) seek to exploit a system for monetization purposes. To overcome these limitations, we present a ledger-based FL framework known as FLEDGE that allows making parties accountable for their behavior and achieve reasonable efficiency for mitigating inference and poisoning attacks. Our solution leverages crypto-currency to increase party accountability by penalizing malicious behavior and rewarding benign conduct. We conduct an extensive evaluation on four public datasets: Reddit, MNIST, Fashion-MNIST, and CIFAR-10. Our experimental results demonstrate that (1) FLEDGE provides strong privacy guarantees for model updates without sacrificing model utility; (2) FLEDGE can successfully mitigate different poisoning attacks without degrading the performance of the global model; and (3) FLEDGE offers unique reward mechanisms to promote benign behavior during model training and/or model aggregation.
arxiv情報
著者 | Jorge Castillo,Phillip Rieger,Hossein Fereidooni,Qian Chen,Ahmad Sadeghi |
発行日 | 2023-10-03 14:55:30+00:00 |
arxivサイト | arxiv_id(pdf) |