Unraveling the Connections between Privacy and Certified Robustness in Federated Learning Against Poisoning Attacks

要約

フェデレーション ラーニング (FL) は、分散ユーザーからのデータを活用してグローバル モデルを共同トレーニングするための効率的なパラダイムを提供します。
ローカル トレーニング データは信頼できない可能性のあるさまざまなユーザーからのものであるため、FL がポイズニング攻撃に対して脆弱であることがいくつかの研究で示されています。
一方、ローカル ユーザーのプライバシーを保護するために、FL は通常、差分プライベート方式 (DPFL) でトレーニングされます。
したがって、このホワイトペーパーでは、差分プライバシーと、ポイズニング攻撃に対するフロリダ州の認定された堅牢性との間の根本的な関係は何でしょうか?
DPFL 本来のプライバシー特性を活用して、FL に認定された堅牢性を提供することはできますか?
このような堅牢性認証を向上させるために、FL のプライバシーをさらに改善することはできますか?
まず、FL のユーザー レベルとインスタンス レベルのプライバシーの両方を調査し、インスタンス レベルのプライバシーの向上を実現するための正式なプライバシー分析を提供します。
次に、ユーザー レベルとインスタンス レベルの両方で DPFL に対する認定された予測と認定された攻撃の無効性という 2 つの堅牢性認定基準を提供します。
理論的には、敵対的なユーザーまたはインスタンスの数が制限されている場合に、両方の基準に基づいて DPFL の堅牢性が保証されています。
経験的に、私たちはさまざまなデータセットに対するさまざまなポイズニング攻撃の下で理論を検証するために大規模な実験を実施します。
DPFL でのプライバシー保護のレベルを上げると、認定された攻撃の無効性が強化されることがわかりました。
ただし、必ずしもより強力な認定予測が得られるわけではありません。
したがって、最適な認定済み予測を達成するには、プライバシーとユーティリティ損失の間の適切なバランスが必要です。

要約(オリジナル)

Federated learning (FL) provides an efficient paradigm to jointly train a global model leveraging data from distributed users. As local training data comes from different users who may not be trustworthy, several studies have shown that FL is vulnerable to poisoning attacks. Meanwhile, to protect the privacy of local users, FL is usually trained in a differentially private way (DPFL). Thus, in this paper, we ask: What are the underlying connections between differential privacy and certified robustness in FL against poisoning attacks? Can we leverage the innate privacy property of DPFL to provide certified robustness for FL? Can we further improve the privacy of FL to improve such robustness certification? We first investigate both user-level and instance-level privacy of FL and provide formal privacy analysis to achieve improved instance-level privacy. We then provide two robustness certification criteria: certified prediction and certified attack inefficacy for DPFL on both user and instance levels. Theoretically, we provide the certified robustness of DPFL based on both criteria given a bounded number of adversarial users or instances. Empirically, we conduct extensive experiments to verify our theories under a range of poisoning attacks on different datasets. We find that increasing the level of privacy protection in DPFL results in stronger certified attack inefficacy; however, it does not necessarily lead to a stronger certified prediction. Thus, achieving the optimal certified prediction requires a proper balance between privacy and utility loss.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google