Rethinking Byzantine Robustness in Federated Recommendation from Sparse Aggregation Perspective

要約

レコメンダー システムでユーザーのプライバシーを保護するために、フェデレーテッド ラーニング (FL) に基づくフェデレーテッド レコメンデーション (FR) が登場し、個人データをローカル クライアントに保持し、モデルを共同で更新します。
FL とは異なり、FR には独自のスパース集約メカニズムがあり、各項目の埋め込みは、一般的な FL の密な集約内の完全なクライアントではなく、部分的なクライアントによってのみ更新されます。
最近、モデル セキュリティは、FL の必須原則として、特に悪意のあるクライアントが任意の更新を送信できるビザンチン攻撃に対してますます注目を集めています。
FR を適用するドメイン (電子商取引など) では、新しいアカウントを登録することで悪意のあるクライアントが簡単に注入される可能性があるため、FR のビザンチン堅牢性を調査する問題は特に重要です。
しかし、既存のビザンチン作品は FR 特有の疎集合を無視しているため、私たちの問題には適していません。
したがって、私たちは疎集合の観点から FR に対するビザンチン攻撃を調査する最初の努力をしますが、これは自明ではありません。疎集合の下でビザンチンの堅牢性を定義し、限られた知識/能力の下でビザンチン攻撃を設計する方法は明確ではありません。
この論文では、単一アイテムの集約を最小実行単位として定義することにより、スパース集約の下でのビザンチンの堅牢性を再定式化します。
次に、スパース集約の脆弱性を悪用し、敵対者の知識と能力に基づいて分類された、Sp攻撃と呼ばれる一連の効果的な攻撃戦略を提案します。
広範な実験結果は、Spattach が効果的に収束を阻止し、少数の悪意のあるクライアントの下で防御を破壊することさえできることを実証しており、FR システムのセキュリティ保護に警鐘を鳴らしています。

要約(オリジナル)

To preserve user privacy in recommender systems, federated recommendation (FR) based on federated learning (FL) emerges, keeping the personal data on the local client and updating a model collaboratively. Unlike FL, FR has a unique sparse aggregation mechanism, where the embedding of each item is updated by only partial clients, instead of full clients in a dense aggregation of general FL. Recently, as an essential principle of FL, model security has received increasing attention, especially for Byzantine attacks, where malicious clients can send arbitrary updates. The problem of exploring the Byzantine robustness of FR is particularly critical since in the domains applying FR, e.g., e-commerce, malicious clients can be injected easily by registering new accounts. However, existing Byzantine works neglect the unique sparse aggregation of FR, making them unsuitable for our problem. Thus, we make the first effort to investigate Byzantine attacks on FR from the perspective of sparse aggregation, which is non-trivial: it is not clear how to define Byzantine robustness under sparse aggregations and design Byzantine attacks under limited knowledge/capability. In this paper, we reformulate the Byzantine robustness under sparse aggregation by defining the aggregation for a single item as the smallest execution unit. Then we propose a family of effective attack strategies, named Spattack, which exploit the vulnerability in sparse aggregation and are categorized along the adversary’s knowledge and capability. Extensive experimental results demonstrate that Spattack can effectively prevent convergence and even break down defenses under a few malicious clients, raising alarms for securing FR systems.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google