FreqFed: A Frequency Analysis-Based Approach for Mitigating Poisoning Attacks in Federated Learning

要約

フェデレーテッド ラーニング (FL) は、複数のクライアントがトレーニング データを共有せずに共同でモデルをトレーニングできるようにする協調学習パラダイムです。
ただし、FL はポイズニング攻撃の影響を受けやすくなっています。ポイズニング攻撃では、敵対者が操作されたモデルの更新をフェデレーテッド モデルの集約プロセスに注入して、予測を破損または破壊したり (非ターゲット ポイズニング)、隠れた機能を埋め込んだり (ターゲット ポイズニングまたはバックドア) します。
フロリダ州におけるポイズニング攻撃に対する既存の防御には、攻撃の種類や戦略、データ分布に関する特定の仮定に依存していること、高度なインジェクション技術や戦略に対して十分に堅牢ではないこと、同時に集約モデルの有用性を維持していることなど、いくつかの制限があります。
既存の防御の欠陥に対処するために、私たちはポイズニング (標的型および非標的型) 攻撃を検出するために、一般的でまったく異なるアプローチを採用しています。
我々は、モデルの更新 (つまり、重み) を周波数領域に変換する新しい集約メカニズムである FreqFed を紹介します。これにより、重みに関する十分な情報を継承するコア周波数成分を特定できます。
これにより、攻撃の種類、戦略、クライアントのデータ分布に関係なく、クライアントでのローカル トレーニング中に悪意のある更新を効果的にフィルタリングできます。
当社は、画像分類、単語予測、IoT 侵入検知、音声認識など、さまざまなアプリケーション ドメインにおける FreqFed の効率と有効性を幅広く評価しています。
FreqFed が集約モデルの有用性への影響を無視してポイズニング攻撃を効果的に軽減できることを実証します。

要約(オリジナル)

Federated learning (FL) is a collaborative learning paradigm allowing multiple clients to jointly train a model without sharing their training data. However, FL is susceptible to poisoning attacks, in which the adversary injects manipulated model updates into the federated model aggregation process to corrupt or destroy predictions (untargeted poisoning) or implant hidden functionalities (targeted poisoning or backdoors). Existing defenses against poisoning attacks in FL have several limitations, such as relying on specific assumptions about attack types and strategies or data distributions or not sufficiently robust against advanced injection techniques and strategies and simultaneously maintaining the utility of the aggregated model. To address the deficiencies of existing defenses, we take a generic and completely different approach to detect poisoning (targeted and untargeted) attacks. We present FreqFed, a novel aggregation mechanism that transforms the model updates (i.e., weights) into the frequency domain, where we can identify the core frequency components that inherit sufficient information about weights. This allows us to effectively filter out malicious updates during local training on the clients, regardless of attack types, strategies, and clients’ data distributions. We extensively evaluate the efficiency and effectiveness of FreqFed in different application domains, including image classification, word prediction, IoT intrusion detection, and speech recognition. We demonstrate that FreqFed can mitigate poisoning attacks effectively with a negligible impact on the utility of the aggregated model.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google