FedTracker: Furnishing Ownership Verification and Traceability for Federated Learning Model

要約

フェデレーテッド・ラーニング（FL）は、分散機械学習のパラダイムであり、複数のクライアントがローカルデータを共有することなく、グローバルモデルを共同で学習することを可能にする。しかし、FLはモデルを様々な参加者に公開することを伴う。このため、悪意のあるクライアントによるモデルの不正配布や再販のリスクがあり、FLグループの知的財産権が損なわれる。このような不正行為を抑止するためには、モデルの所有権を検証し、FL参加者の中からリーク元を追跡するメカニズムを確立することが不可欠です。本論文では、所有権の検証とトレーサビリティの両方を提供する初のFLモデル保護フレームワークであるFedTrackerを紹介します。FedTrackerは、グローバルな電子透かし機構とローカルなフィンガープリント機構からなる2レベルの保護スキームを採用している。前者はグローバルモデルの所有権を認証し、後者はモデルがどのクライアントに由来するかを識別します。FedTrackerは継続学習（CL）の原理を活用し、原始タスクと透かしタスクの両方でFLモデルの有用性を維持する方法で透かしを埋め込みます。FedTrackerはまた、異なるフィンガープリントをより良く識別するための新しいメトリックを考案します。実験結果によれば、FedTrackerは所有者確認やトレーサビリティに有効であり、様々な電子透かし除去攻撃に対して優れた忠実性と堅牢性を維持する。

要約(オリジナル)

Federated learning (FL) is a distributed machine learning paradigm allowing multiple clients to collaboratively train a global model without sharing their local data. However, FL entails exposing the model to various participants. This poses a risk of unauthorized model distribution or resale by the malicious client, compromising the intellectual property rights of the FL group. To deter such misbehavior, it is essential to establish a mechanism for verifying the ownership of the model and as well tracing its origin to the leaker among the FL participants. In this paper, we present FedTracker, the first FL model protection framework that provides both ownership verification and traceability. FedTracker adopts a bi-level protection scheme consisting of global watermark mechanism and local fingerprint mechanism. The former authenticates the ownership of the global model, while the latter identifies which client the model is derived from. FedTracker leverages Continual Learning (CL) principles to embed the watermark in a way that preserves the utility of the FL model on both primitive task and watermark task. FedTracker also devises a novel metric to better discriminate different fingerprints. Experimental results show FedTracker is effective in ownership verification, traceability, and maintains good fidelity and robustness against various watermark removal attacks.

arxiv情報

提供元, 利用サービス

arxiv.jp, DeepL