要約
本論文では、ビザンチンでロバストな連合学習のための新しいフレームワークであるSureFEDを紹介する。統計的にロバストな量に依存し、ステルス攻撃や結託攻撃に脆弱な既存の多くの防御手法とは異なり、SureFEDは良性クライアントのローカル情報を用いて信頼を確立する。SureFEDはポイズニング攻撃から保護するために、不確実性を考慮したモデル評価とイントロスペクションを利用します。特に、各クライアントは、モデルの更新を評価するための基準点として機能する、ローカルデータセットのみを使用して、クリーンなローカルモデルを独自に訓練します。SureFEDは、モデルの不確実性を提供し、モデル評価プロセスにおいて重要な役割を果たすベイズモデルを活用する。我々のフレームワークは、クライアントの大多数が侵害された場合でも頑健性を示し、悪意のあるクライアントの数に依存せず、非IID設定に適している。また、非IID設定に適している。我々は、分散型線形回帰設定において、データとモデルポイズニング攻撃に対する我々のアルゴリズムの頑健性を理論的に証明する。ベンチマーク画像分類データを用いた概念実証評価により、様々な共謀及び非共謀のデータ及びモデルポイズニング攻撃において、SureFEDが最先端の防御手法よりも優れていることを実証する。
要約(オリジナル)
In this work, we introduce SureFED, a novel framework for byzantine robust federated learning. Unlike many existing defense methods that rely on statistically robust quantities, making them vulnerable to stealthy and colluding attacks, SureFED establishes trust using the local information of benign clients. SureFED utilizes an uncertainty aware model evaluation and introspection to safeguard against poisoning attacks. In particular, each client independently trains a clean local model exclusively using its local dataset, acting as the reference point for evaluating model updates. SureFED leverages Bayesian models that provide model uncertainties and play a crucial role in the model evaluation process. Our framework exhibits robustness even when the majority of clients are compromised, remains agnostic to the number of malicious clients, and is well-suited for non-IID settings. We theoretically prove the robustness of our algorithm against data and model poisoning attacks in a decentralized linear regression setting. Proof-of Concept evaluations on benchmark image classification data demonstrate the superiority of SureFED over the state of the art defense methods under various colluding and non-colluding data and model poisoning attacks.
arxiv情報
| 著者 | Nasimeh Heydaribeni,Ruisi Zhang,Tara Javidi,Cristina Nita-Rotaru,Farinaz Koushanfar |
| 発行日 | 2024-03-01 00:33:40+00:00 |
| arxivサイト | arxiv_id(pdf) |