A Survey on Vulnerability of Federated Learning: A Learning Algorithm Perspective

要約

このレビュー ペーパーでは、FL に対する悪意のある攻撃を包括的に検討し、攻撃の発信元とターゲットに関する新しい観点からそれらを分類し、その方法論と影響についての洞察を提供します。
この調査では、FL システムの学習プロセスを対象とした脅威モデルに焦点を当てます。
攻撃のソースとターゲットに基づいて、既存の脅威モデルをデータ対モデル (D2M)、モデル対データ (M2D)、モデル対モデル (M2M)、および複合攻撃の 4 つのタイプに分類します。
攻撃の種類ごとに、提案される防御戦略について説明し、その有効性、前提条件、改善の余地がある領域を強調します。
防御戦略は、単一の指標を使用して悪意のあるクライアントを排除することから、さまざまな段階でクライアント モデルを調査する多面的なアプローチを採用することに進化しました。
この調査論文では、さまざまな段階での学習対象データ、学習勾配、学習済みモデルのすべてが操作されて、モデルのパフォーマンスの低下、プライベートなローカル データの再構築、バックドアの挿入に至るまで、さまざまな悪意のある攻撃を開始できることが調査によって示されています。
。
また、これらの脅威がより潜伏性を増していることも目の当たりにしています。
以前の研究では通常、悪意のある勾配が増幅されていましたが、最近の研究では、ローカル モデルの最も重要でない重みを微妙に変更して防御手段を回避しています。
この文献レビューは、現在の FL 脅威状況の全体的な理解を提供し、現実世界のアプリケーションで FL を安全かつ信頼して導入できるようにするために、堅牢で効率的でプライバシーを保護する防御を開発することの重要性を強調しています。

要約(オリジナル)

This review paper takes a comprehensive look at malicious attacks against FL, categorizing them from new perspectives on attack origins and targets, and providing insights into their methodology and impact. In this survey, we focus on threat models targeting the learning process of FL systems. Based on the source and target of the attack, we categorize existing threat models into four types, Data to Model (D2M), Model to Data (M2D), Model to Model (M2M) and composite attacks. For each attack type, we discuss the defense strategies proposed, highlighting their effectiveness, assumptions and potential areas for improvement. Defense strategies have evolved from using a singular metric to excluding malicious clients, to employing a multifaceted approach examining client models at various phases. In this survey paper, our research indicates that the to-learn data, the learning gradients, and the learned model at different stages all can be manipulated to initiate malicious attacks that range from undermining model performance, reconstructing private local data, and to inserting backdoors. We have also seen these threat are becoming more insidious. While earlier studies typically amplified malicious gradients, recent endeavors subtly alter the least significant weights in local models to bypass defense measures. This literature review provides a holistic understanding of the current FL threat landscape and highlights the importance of developing robust, efficient, and privacy-preserving defenses to ensure the safe and trusted adoption of FL in real-world applications.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google