Leverage Variational Graph Representation For Model Poisoning on Federated Learning

要約

この論文では、フェデレーテッド ラーニング (FL) に対する新しいトレーニング データを使用しないモデル ポイズニング (MP) 攻撃を提案します。
新しい MP 攻撃は、敵対的変分グラフ オートエンコーダ (VGAE) を拡張して、FL のトレーニング データにアクセスせずに傍聴された無害なローカル モデルのみに基づいて悪意のあるローカル モデルを作成します。
このような進歩により、有効であるだけでなく検出が困難な VGAE-MP 攻撃が発生します。
VGAE-MP 攻撃は、良性のローカル モデルとトレーニング データの特徴の間のグラフ構造の相関を抽出し、敵対的にグラフ構造を再生成し、敵対的なグラフ構造と良性のモデルの特徴を使用して悪意のあるローカル モデルを生成します。
さらに、VGAE と部分勾配降下法を使用して悪意のあるローカル モデルをトレーニングするための新しい攻撃アルゴリズムが提供され、VGAE をトレーニングするための無害なローカル モデルの最適な選択が可能になります。
実験では、提案されている VGAE-MP 攻撃の下では FL の精度が徐々に低下し、攻撃を検出する際の既存の防御メカニズムが無効であることが実証され、FL に深刻な脅威をもたらしています。

要約(オリジナル)

This paper puts forth a new training data-untethered model poisoning (MP) attack on federated learning (FL). The new MP attack extends an adversarial variational graph autoencoder (VGAE) to create malicious local models based solely on the benign local models overheard without any access to the training data of FL. Such an advancement leads to the VGAE-MP attack that is not only efficacious but also remains elusive to detection. VGAE-MP attack extracts graph structural correlations among the benign local models and the training data features, adversarially regenerates the graph structure, and generates malicious local models using the adversarial graph structure and benign models’ features. Moreover, a new attacking algorithm is presented to train the malicious local models using VGAE and sub-gradient descent, while enabling an optimal selection of the benign local models for training the VGAE. Experiments demonstrate a gradual drop in FL accuracy under the proposed VGAE-MP attack and the ineffectiveness of existing defense mechanisms in detecting the attack, posing a severe threat to FL.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google