Covert Channel Attack to Federated Learning Systems

要約

フェデレーション ラーニング (FL) は、エッジ クライアントの大規模なコレクション間でモデル トレーニングを分散することで、従来の集中型機械学習を超えています。
これらのクライアントは、ローカルのプライベート トレーニング データを開示することなく、クラウド ホスト型のグローバル モデルを協力してトレーニングします。
その後、グローバル モデルは、ローカル予測に使用するすべての参加者間で共有されます。
この論文では、FL システムを秘密チャネルに変えてステルス通信インフラストラクチャを実装することを目的とした新しい攻撃者モデルを提案しました。
主な直感は、フェデレーテッド トレーニング中に、悪意のある送信者が意図的に作成されたサンプルを送信することによってグローバル モデルを汚染する可能性があるということです。
モデル ポイズニングの影響は他の参加者にとっては無視でき、モデル全体のパフォーマンスは変わりませんが、悪意のある受信者によって監視され、単一ビットの送信に使用される可能性があります。

要約(オリジナル)

Federated learning (FL) goes beyond traditional, centralized machine learning by distributing model training among a large collection of edge clients. These clients cooperatively train a global, e.g., cloud-hosted, model without disclosing their local, private training data. The global model is then shared among all the participants which use it for local predictions. In this paper, we put forward a novel attacker model aiming at turning FL systems into covert channels to implement a stealth communication infrastructure. The main intuition is that, during federated training, a malicious sender can poison the global model by submitting purposely crafted examples. Although the effect of the model poisoning is negligible to other participants, and does not alter the overall model performance, it can be observed by a malicious receiver and used to transmit a single bit.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google