Precision Guided Approach to Mitigate Data Poisoning Attacks in Federated Learning

要約

Federated Learning (FL) は、参加者が機密データのプライバシーを保護しながら、共有の機械学習モデルを共同でトレーニングできるようにする協調学習パラダイムです。
それにもかかわらず、FL の固有の分散化およびデータ不透明な特性により、データ ポイズニング攻撃に対して脆弱になります。
これらの攻撃は、ローカル モデルのトレーニング中に不正な入力または悪意のある入力を導入し、その後グローバル モデルに影響を与え、誤った予測を引き起こします。
データポイズニング攻撃に対する現在のフロリダ州の防御戦略は、精度と堅牢性の間のトレードオフを伴うか、サーバーに均一に分散されたルート データセットの存在を必要とします。
これらの制限を克服するために、ゾーンベースの逸脱更新 (ZBDU) メカニズムを利用してフロリダ州でのデータ ポイズニング攻撃に効果的に対抗する FedZZ を紹介します。
さらに、これらのクライアント クラスター (ゾーン) を積極的に特徴付ける正確なガイド付き手法を導入します。これにより、サーバーでの悪意のある更新の認識と破棄が容易になります。
CIFAR10 と EMNIST という 2 つの広く認識されたデータセットにわたる FedZZ の評価では、データ ポイズニング攻撃の軽減における FedZZ の有効性が実証され、単一クライアントとマルチクライアントの両方の攻撃シナリオおよびさまざまな攻撃量において、普及している最先端の方法論のパフォーマンスを上回っています。
特に、FedZZ は、IID が非常に高く攻撃のないシナリオでも、堅牢なクライアント選択戦略としても機能します。
さらに、中毒率の上昇に直面しても、FedZZ によって達成されるモデルの精度は、既存の技術と比較して優れた回復力を示します。
たとえば、悪意のあるクライアントが 50% 存在する場合、FedZZ は 67.43% の精度を維持しますが、2 番目に優れたソリューションである FL-Defender の精度は 43.36% に低下します。

要約(オリジナル)

Federated Learning (FL) is a collaborative learning paradigm enabling participants to collectively train a shared machine learning model while preserving the privacy of their sensitive data. Nevertheless, the inherent decentralized and data-opaque characteristics of FL render its susceptibility to data poisoning attacks. These attacks introduce malformed or malicious inputs during local model training, subsequently influencing the global model and resulting in erroneous predictions. Current FL defense strategies against data poisoning attacks either involve a trade-off between accuracy and robustness or necessitate the presence of a uniformly distributed root dataset at the server. To overcome these limitations, we present FedZZ, which harnesses a zone-based deviating update (ZBDU) mechanism to effectively counter data poisoning attacks in FL. Further, we introduce a precision-guided methodology that actively characterizes these client clusters (zones), which in turn aids in recognizing and discarding malicious updates at the server. Our evaluation of FedZZ across two widely recognized datasets: CIFAR10 and EMNIST, demonstrate its efficacy in mitigating data poisoning attacks, surpassing the performance of prevailing state-of-the-art methodologies in both single and multi-client attack scenarios and varying attack volumes. Notably, FedZZ also functions as a robust client selection strategy, even in highly non-IID and attack-free scenarios. Moreover, in the face of escalating poisoning rates, the model accuracy attained by FedZZ displays superior resilience compared to existing techniques. For instance, when confronted with a 50% presence of malicious clients, FedZZ sustains an accuracy of 67.43%, while the accuracy of the second-best solution, FL-Defender, diminishes to 43.36%.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google