FedCC: Robust Federated Learning against Model Poisoning Attacks

要約

Federated Learningは、プライバシーの懸念に対処するために設計された分散フレームワークです。
ただし、新しい攻撃面を導入します。これは、データが非依存的で同一に分布している場合に特に傾向があります。
既存のアプローチは、この設定における悪意のある影響を効果的に軽減できません。
以前のアプローチは、多くの場合、非IIDデータと中毒攻撃に個別に取り組んでいます。
両方の課題に同時に対処するために、モデル中毒攻撃に対するシンプルで効果的な新規防衛アルゴリズムであるFEDCCを提示します。
クラスタリング用の最後から2番目の層表現の中心的なカーネルアライメントの類似性を活用し、非IIDデータ設定であっても、悪意のあるクライアントの識別とろ過を可能にします。
後のレイヤーはローカルデータ分布により敏感であり、悪意のあるクライアントのより良い検出を可能にするため、最後から2番目の層の表現は意味があります。
レイヤーごとの中心のカーネルアライメントの類似性の洗練された利用により、攻撃緩和が得られ、得られた有用な知識を活用できます。
私たちの広範な実験は、ターゲットモデル中毒とターゲットを絞ったバックドア攻撃の両方を緩和する際のFEDCCの有効性を示しています。
既存の外れ値検出ベースおよび1次統計ベースの方法と比較して、FEDCCは攻撃信頼をゼロに一貫して減らします。
具体的には、グローバルパフォーマンスの平均劣化を65.5 \％で大幅に最小化します。
集約に関するこの新しい視点は、FLモデルのセキュリティとプライバシーの分野への貴重な貢献であると考えています。
コードは、受け入れられると利用可能になります。

要約(オリジナル)

Federated learning is a distributed framework designed to address privacy concerns. However, it introduces new attack surfaces, which are especially prone when data is non-Independently and Identically Distributed. Existing approaches fail to effectively mitigate the malicious influence in this setting; previous approaches often tackle non-IID data and poisoning attacks separately. To address both challenges simultaneously, we present FedCC, a simple yet effective novel defense algorithm against model poisoning attacks. It leverages the Centered Kernel Alignment similarity of Penultimate Layer Representations for clustering, allowing the identification and filtration of malicious clients, even in non-IID data settings. The penultimate layer representations are meaningful since the later layers are more sensitive to local data distributions, which allows better detection of malicious clients. The sophisticated utilization of layer-wise Centered Kernel Alignment similarity allows attack mitigation while leveraging useful knowledge obtained. Our extensive experiments demonstrate the effectiveness of FedCC in mitigating both untargeted model poisoning and targeted backdoor attacks. Compared to existing outlier detection-based and first-order statistics-based methods, FedCC consistently reduces attack confidence to zero. Specifically, it significantly minimizes the average degradation of global performance by 65.5\%. We believe that this new perspective on aggregation makes it a valuable contribution to the field of FL model security and privacy. The code will be made available upon acceptance.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google