Federated Learning Under Attack: Exposing Vulnerabilities through Data Poisoning Attacks in Computer Networks

要約

フェデレーション ラーニング (FL) は、生データを交換することなく、複数の分散デバイスまたはエッジ サーバーが共有モデルを共同でトレーニングできるようにする機械学習 (ML) アプローチです。
クライアントとサーバー間でモデルの更新をトレーニングおよび共有する際、データとモデルはさまざまなデータポイズニング攻撃の影響を受けやすくなります。
この研究では、コンピュータ ネットワーク ドメインにおけるデータ ポイズニング攻撃の重大度を調査することが私たちの目的です。データ ポイズニング攻撃は実装は簡単ですが、検出が難しいためです。
私たちは、ラベル フリッピング (LF) と機能ポイズニング (FP) という 2 種類のデータ ポイズニング攻撃を検討し、新しいアプローチでそれらを適用しました。
LF では、無害なデータのラベルをランダムに反転し、操作されたデータでモデルをトレーニングしました。
FP では、ランダム フォレスト アルゴリズムを使用して決定された、寄与度の高い特徴をランダムに操作しました。
この実験で使用されたデータセットは、コンピューター ネットワークに関連する CIC と UNSW です。
上記の 2 つの攻撃を使用して敵対的サンプルを生成し、これらは少数のデータセットに適用されました。
その後、敵対的なデータセットでモデルの精度をトレーニングし、テストしました。
無害なデータセットと操作されたデータセットの両方の結果を記録し、異なるデータセットのモデルの精度に大きな違いがあることを観察しました。
実験結果から、LF 攻撃は失敗したのに対し、FP 攻撃は有効な結果を示したことは明らかであり、サーバーを騙す上での重要性が証明されました。
CIC に対する 1% LF 攻撃では、精度は約 0.0428、ASR は 0.9564 でした。
したがって、攻撃は簡単に検出できますが、1% FP 攻撃の場合、精度と ASR は両方とも約 0.9600 であるため、FP 攻撃を検出するのは困難です。
私たちは中毒率を変えて実験を繰り返しました。

要約(オリジナル)

Federated Learning (FL) is a machine learning (ML) approach that enables multiple decentralized devices or edge servers to collaboratively train a shared model without exchanging raw data. During the training and sharing of model updates between clients and servers, data and models are susceptible to different data-poisoning attacks. In this study, our motivation is to explore the severity of data poisoning attacks in the computer network domain because they are easy to implement but difficult to detect. We considered two types of data-poisoning attacks, label flipping (LF) and feature poisoning (FP), and applied them with a novel approach. In LF, we randomly flipped the labels of benign data and trained the model on the manipulated data. For FP, we randomly manipulated the highly contributing features determined using the Random Forest algorithm. The datasets used in this experiment were CIC and UNSW related to computer networks. We generated adversarial samples using the two attacks mentioned above, which were applied to a small percentage of datasets. Subsequently, we trained and tested the accuracy of the model on adversarial datasets. We recorded the results for both benign and manipulated datasets and observed significant differences between the accuracy of the models on different datasets. From the experimental results, it is evident that the LF attack failed, whereas the FP attack showed effective results, which proved its significance in fooling a server. With a 1% LF attack on the CIC, the accuracy was approximately 0.0428 and the ASR was 0.9564; hence, the attack is easily detectable, while with a 1% FP attack, the accuracy and ASR were both approximately 0.9600, hence, FP attacks are difficult to detect. We repeated the experiment with different poisoning percentages.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google