BadVFL: Backdoor Attacks in Vertical Federated Learning

要約

タイトル：BadVFL：垂直フェデレーテッド学習におけるバックドア攻撃

要約：

– フェデレーテッド学習（FL）は、複数のパーティがデータを共有せずに協力して機械学習モデルのトレーニングを実行することができる。それぞれはローカルにモデルをトレーニングし、更新を集約するために中央のサーバに送る。
– FLは、データが参加者間でどのように配分されるかによって、水平（HFL）と垂直（VFL）に分類される。VFLでは、参加者は同じトレーニングインスタンスセットを共有するが、全ての特徴空間の異なるサブセットを持つ。HFLでは、各参加者は同じ特徴のセットを共有し、トレーニングセットはローカルに所有されるトレーニングデータのサブセットに分割される。
– VFLは、金融詐欺検出などの分野で広く利用されているが、そのセキュリティについてはほとんど調査されていない。
– この論文では、VFLにおける頑強性、特にバックドア攻撃に焦点を当てている。バックドア攻撃とは、敵対者が集合モデルを操作して誤分類を引き起こすことを試みる攻撃のことである。VFLでのバックドア攻撃は、HFLよりも困難である。なぜなら、敵対者はトレーニング中にラベルにアクセスできず、特徴の埋め込みしかアクセスできないからである。
– 著者らは、2つのフェーズから構成される、VFLで初めてのクリーンラベルバックドア攻撃を提案する。それは、ラベル推論フェーズとバックドアフェーズを含むものである。著者らは、この攻撃の効果を3つの異なるデータセットで示し、成功に関与する要因を調査し、その影響を軽減するための対策について議論している。

要約(オリジナル)

Federated learning (FL) enables multiple parties to collaboratively train a machine learning model without sharing their data; rather, they train their own model locally and send updates to a central server for aggregation. Depending on how the data is distributed among the participants, FL can be classified into Horizontal (HFL) and Vertical (VFL). In VFL, the participants share the same set of training instances but only host a different and non-overlapping subset of the whole feature space. Whereas in HFL, each participant shares the same set of features while the training set is split into locally owned training data subsets. VFL is increasingly used in applications like financial fraud detection; nonetheless, very little work has analyzed its security. In this paper, we focus on robustness in VFL, in particular, on backdoor attacks, whereby an adversary attempts to manipulate the aggregate model during the training process to trigger misclassifications. Performing backdoor attacks in VFL is more challenging than in HFL, as the adversary i) does not have access to the labels during training and ii) cannot change the labels as she only has access to the feature embeddings. We present a first-of-its-kind clean-label backdoor attack in VFL, which consists of two phases: a label inference and a backdoor phase. We demonstrate the effectiveness of the attack on three different datasets, investigate the factors involved in its success, and discuss countermeasures to mitigate its impact.

arxiv情報

提供元, 利用サービス

arxiv.jp, OpenAI