FedTracker: Furnishing Ownership Verification and Traceability for Federated Learning Model

要約

フェデレーテッド ラーニング (FL) は、複数のクライアントがローカル データを共有せずにグローバル モデルを共同でトレーニングできるようにする分散機械学習パラダイムです。
ただし、FL ではモデルをさまざまな参加者に公開する必要があります。
これにより、悪意のあるクライアントによる無許可のモデルの配布または再販のリスクが生じ、FL グループの知的財産権が侵害されます。
このような不正行為を阻止するには、モデルの所有権を検証し、FL 参加者の中の漏洩者までその出所を追跡するためのメカニズムを確立することが不可欠です。
このペーパーでは、所有権の検証とトレーサビリティの両方を提供する初の FL モデル保護フレームワークである FedTracker を紹介します。
FedTracker は、グローバル ウォーターマーク メカニズムとローカル フィンガープリント メカニズムで構成される 2 レベルの保護スキームを採用しています。
前者はグローバル モデルの所有権を認証し、後者はモデルがどのクライアントから派生したかを識別します。
FedTracker は、継続学習 (CL) 原則を利用して、プリミティブ タスクとウォーターマーク タスクの両方で FL モデルの有用性を維持する方法でウォーターマークを埋め込みます。
FedTracker は、さまざまな指紋をより適切に識別するための新しいメトリクスも考案しています。
実験結果は、FedTracker が所有権の検証、トレーサビリティに効果的であり、さまざまな透かし除去攻撃に対して優れた忠実性と堅牢性を維持することを示しています。

要約(オリジナル)

Federated learning (FL) is a distributed machine learning paradigm allowing multiple clients to collaboratively train a global model without sharing their local data. However, FL entails exposing the model to various participants. This poses a risk of unauthorized model distribution or resale by the malicious client, compromising the intellectual property rights of the FL group. To deter such misbehavior, it is essential to establish a mechanism for verifying the ownership of the model and as well tracing its origin to the leaker among the FL participants. In this paper, we present FedTracker, the first FL model protection framework that provides both ownership verification and traceability. FedTracker adopts a bi-level protection scheme consisting of global watermark mechanism and local fingerprint mechanism. The former authenticates the ownership of the global model, while the latter identifies which client the model is derived from. FedTracker leverages Continual Learning (CL) principles to embedding the watermark in a way that preserves the utility of the FL model on both primitive task and watermark task. FedTracker also devises a novel metric to better discriminate different fingerprints. Experimental results show FedTracker is effective in ownership verification, traceability, and maintains good fidelity and robustness against various watermark removal attacks.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google