要約
Federated Learning(FL)は分散型機械学習アプローチであり、分散化されたデータソースで学習することでデータのプライバシーを維持する。集中型機械学習と同様に、FLもバックドア攻撃の影響を受けやすい。FLにおけるバックドア攻撃のほとんどは、事前に定義されたターゲットクラスを想定しており、多数のクライアントを制御するか、良性のクライアントの情報を知っている必要がある。さらに、バックドア攻撃は検知不可能ではなく、ポイズンデータに明確なアーチファクトが残るため、人間が検査することで容易に検知される。これらの課題を克服するために、我々は、検知不可能でターゲットオンデマンドを可能にする効果的なバックドア攻撃であるVenomancerを提案する。具体的には、視覚的な損失関数を用いてポイズンデータを元のデータと視覚的に区別できないようにすることで、知覚不可能性を実現する。ターゲットオンデマンドの特性により、攻撃者は条件付き敵対的訓練によって任意のターゲットクラスを選択することができる。さらに、実験により、本方法はNorm Clipping、Weak DP、Krum、Multi-Krumといった最先端の防御に対して頑健であることが示された。ソースコードはhttps://anonymous.4open.science/r/Venomancer-3426。
要約(オリジナル)
Federated Learning (FL) is a distributed machine learning approach that maintains data privacy by training on decentralized data sources. Similar to centralized machine learning, FL is also susceptible to backdoor attacks. Most backdoor attacks in FL assume a predefined target class and require control over a large number of clients or knowledge of benign clients’ information. Furthermore, they are not imperceptible and are easily detected by human inspection due to clear artifacts left on the poison data. To overcome these challenges, we propose Venomancer, an effective backdoor attack that is imperceptible and allows target-on-demand. Specifically, imperceptibility is achieved by using a visual loss function to make the poison data visually indistinguishable from the original data. Target-on-demand property allows the attacker to choose arbitrary target classes via conditional adversarial training. Additionally, experiments showed that the method is robust against state-of-the-art defenses such as Norm Clipping, Weak DP, Krum, and Multi-Krum. The source code is available at https://anonymous.4open.science/r/Venomancer-3426.
arxiv情報
| 著者 | Son Nguyen,Thinh Nguyen,Khoa Doan,Kok-Seng Wong |
| 発行日 | 2024-07-03 14:22:51+00:00 |
| arxivサイト | arxiv_id(pdf) |