Backdoor Federated Learning by Poisoning Backdoor-Critical Layers

要約

フェデレーテッド・ラーニング(FL)は、分散デバイスにまたがる機密データの機械学習トレーニングを可能にするために広く導入されている。しかし、分散型学習パラダイムとFLの異質性は、バックドア攻撃の攻撃対象領域をさらに拡大する。既存のFL攻撃・防御手法は、通常、モデル全体に焦点を当てています。バックドア・クリティカル(BC)レイヤー(モデルの脆弱性を支配するレイヤーの小さなサブセット)の存在を認識しているものはありません。BC層を攻撃することで、モデル全体を攻撃するのと同等の効果が得られますが、最先端の(SOTA)防御によって検出される可能性ははるかに低くなります。本論文では、攻撃者の視点からBCレイヤーを特定・検証する一般的なin-situアプローチを提案する。特定されたBCレイヤーに基づき、様々な防御戦略の下で、攻撃効果とステルス性の基本的なバランスを適応的に追求する新しいバックドア攻撃手法を注意深く構築する。広範な実験により、我々のBCレイヤーを考慮したバックドア攻撃は、わずか10%の悪意のあるクライアントで、7つのSOTA防御下でFLへのバックドアに成功し、最新のバックドア攻撃手法を凌駕することが示された。

要約(オリジナル)

Federated learning (FL) has been widely deployed to enable machine learning training on sensitive data across distributed devices. However, the decentralized learning paradigm and heterogeneity of FL further extend the attack surface for backdoor attacks. Existing FL attack and defense methodologies typically focus on the whole model. None of them recognizes the existence of backdoor-critical (BC) layers-a small subset of layers that dominate the model vulnerabilities. Attacking the BC layers achieves equivalent effects as attacking the whole model but at a far smaller chance of being detected by state-of-the-art (SOTA) defenses. This paper proposes a general in-situ approach that identifies and verifies BC layers from the perspective of attackers. Based on the identified BC layers, we carefully craft a new backdoor attack methodology that adaptively seeks a fundamental balance between attacking effects and stealthiness under various defense strategies. Extensive experiments show that our BC layer-aware backdoor attacks can successfully backdoor FL under seven SOTA defenses with only 10% malicious clients and outperform the latest backdoor attack methods.

arxiv情報

著者 Haomin Zhuang,Mingxian Yu,Hao Wang,Yang Hua,Jian Li,Xu Yuan
発行日 2024-02-29 19:45:38+00:00
arxivサイト arxiv_id(pdf)

提供元, 利用サービス

arxiv.jp, DeepL

カテゴリー: cs.CR, cs.CV, cs.LG パーマリンク