要約
フェデレーテッド・ラーニング(FL)は、データセットのプライバシーを守りながら、複数のエンティティが共同でモデルを学習することを可能にする分散型の機械学習手法である。しかし、その分散型という性質から、セキュリティ上の様々な懸念が提起されており、高度化する防御によって対処されてきた。これらの防御は、例えば、悪意のあるモデルの更新をフィルタリングするために、様々なデータソースとメトリックを利用し、攻撃の影響を最小化または排除することを保証する。 本稿では、多様な防御を回避しながらFLにバックドアを設置できる汎用的な攻撃手法の設計の実現可能性を探る。具体的には、MIGOと呼ばれる攻撃者戦略に着目し、正規の更新と微妙に混ざり合うようなモデル更新を作り出すことを目指す。その結果、バックドアが徐々にグローバルモデルに統合され、攻撃が終了した後もバックドアが持続するようになり、同時に、防御の有効性を妨げるのに十分な曖昧さを生み出す。 MIGOを使用して、5つのデータセットと異なるモデルアーキテクチャに3種類のバックドアを埋め込んだ。その結果、MIGOはメインタスクの実用性を維持しながら、一貫して極めて高いバックドア精度(90%以上)を達成し、これらのバックドアがもたらす脅威の大きさを実証しました。さらに、MIGOは、いくつかの最先端の手法を含む10の防御に対して強力な回避能力を示しました。他の4つの攻撃ストラテジーと比較した場合、MIGOはほとんどのコンフィギュレーションにおいて一貫してそれらのストラテジーを凌駕しました。注目すべきは、攻撃者がクライアントの0.1%しか制御していないような極端なシナリオであっても、攻撃者が十分なラウンド数を持続することができれば、バックドア挿入の成功が可能であることを示していることです。
要約(オリジナル)
Federated learning (FL) is a decentralized machine learning technique that allows multiple entities to jointly train a model while preserving dataset privacy. However, its distributed nature has raised various security concerns, which have been addressed by increasingly sophisticated defenses. These protections utilize a range of data sources and metrics to, for example, filter out malicious model updates, ensuring that the impact of attacks is minimized or eliminated. This paper explores the feasibility of designing a generic attack method capable of installing backdoors in FL while evading a diverse array of defenses. Specifically, we focus on an attacker strategy called MIGO, which aims to produce model updates that subtly blend with legitimate ones. The resulting effect is a gradual integration of a backdoor into the global model, often ensuring its persistence long after the attack concludes, while generating enough ambiguity to hinder the effectiveness of defenses. MIGO was employed to implant three types of backdoors across five datasets and different model architectures. The results demonstrate the significant threat posed by these backdoors, as MIGO consistently achieved exceptionally high backdoor accuracy (exceeding 90%) while maintaining the utility of the main task. Moreover, MIGO exhibited strong evasion capabilities against ten defenses, including several state-of-the-art methods. When compared to four other attack strategies, MIGO consistently outperformed them across most configurations. Notably, even in extreme scenarios where the attacker controls just 0.1% of the clients, the results indicate that successful backdoor insertion is possible if the attacker can persist for a sufficient number of rounds.
arxiv情報
| 著者 | Nuno Neves |
| 発行日 | 2025-01-03 17:30:59+00:00 |
| arxivサイト | arxiv_id(pdf) |