Avoid Adversarial Adaption in Federated Learning by Multi-Metric Investigations

要約

Federated Learning (FL) は、分散型機械学習モデルのトレーニングを促進し、データ プライバシーを保護し、通信コストを削減し、多様なデータ ソースを通じてモデルのパフォーマンスを向上させます。
しかし、FL はポイズニング攻撃などの脆弱性に直面しており、対象外のパフォーマンス低下と対象を絞ったバックドア攻撃の両方によってモデルの整合性が損なわれます。
バックドアはそのステルス性により、阻止することが特に困難であることが判明しています。
ポイズニング攻撃に対する著名な緩和手法は、特定のメトリクスを監視し、悪意のあるモデルの更新をフィルタリングすることに依存しています。
評価では効果的であることが示されましたが、以前の研究では現実的な現実世界の敵とデータ分布が考慮されていなかったと主張します。
私たちは、複数の目的に同時に適応できる強力な適応型敵対者の新しい概念を定義します。
広範な実証テストを通じて、この敵対モデルでは既存の防御方法が簡単に回避できることを示しています。
また、基礎となるデータの分布について仮定が行われていない場合、既存の防御の有効性が限定的であることも実証します。
より現実的なシナリオと敵対者モデルのための新しい防御方法である Metric-Cascades (MESAS) を紹介します。
MESAS は、複数の検出メトリクスを同時に使用して汚染されたモデルの更新を特定し、適応型攻撃者にとって複雑な多目的最適化問題を引き起こします。
9 つのバックドアと 3 つのデータセットを特徴とする広範な評価において、MESAS は強力な適応型攻撃者さえも一貫して検出します。
さらに、MESAS は、クライアント内およびクライアント間のデータ配布に関連した歪みからバックドアを区別する点で、既存の防御を上回ります。
MESAS は、強力な適応型の敵に対して堅牢な最初の防御であり、平均オーバーヘッドがわずか 24.37 秒で、現実世界のデータ シナリオに効果的です。

要約(オリジナル)

Federated Learning (FL) facilitates decentralized machine learning model training, preserving data privacy, lowering communication costs, and boosting model performance through diversified data sources. Yet, FL faces vulnerabilities such as poisoning attacks, undermining model integrity with both untargeted performance degradation and targeted backdoor attacks. Preventing backdoors proves especially challenging due to their stealthy nature. Prominent mitigation techniques against poisoning attacks rely on monitoring certain metrics and filtering malicious model updates. While shown effective in evaluations, we argue that previous works didn’t consider realistic real-world adversaries and data distributions. We define a new notion of strong adaptive adversaries, capable of adapting to multiple objectives simultaneously. Through extensive empirical tests, we show that existing defense methods can be easily circumvented in this adversary model. We also demonstrate, that existing defenses have limited effectiveness when no assumptions are made about underlying data distributions. We introduce Metric-Cascades (MESAS), a novel defense method for more realistic scenarios and adversary models. MESAS employs multiple detection metrics simultaneously to identify poisoned model updates, creating a complex multi-objective optimization problem for adaptive attackers. In our extensive evaluation featuring nine backdoors and three datasets, MESAS consistently detects even strong adaptive attackers. Furthermore, MESAS outperforms existing defenses in distinguishing backdoors from data distribution-related distortions within and across clients. MESAS is the first defense robust against strong adaptive adversaries, effective in real-world data scenarios, with an average overhead of just 24.37 seconds.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google