【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

news2024/12/22 23:35:41

个人阅读笔记,如有错误欢迎指出!

会议: Usenix 2020 [1911.11815] Local Model Poisoning Attacks to Byzantine-Robust Federated Learning (arxiv.org)

问题:

        模型攻击对拜占庭鲁棒性联邦学习的攻击效果尚未清楚

创新点:

        1、基于不同防御方法,设计了具有针对性的模型攻击方式

        2、概括了基于错误率以及基于损失函数的防御方法,测试了两种防御方法的效果。

方法:

        攻击场景:training phase中对基于本地训练数据的模型在训练过程中进行攻击

        攻击者的要求:控制部分参与模型中的训练参数

        本地模型攻击:

                主要挑战:如何将被攻击的本地模型进行改造并发送至服务器

                方法:对投毒后的本地模型进行约束,转化为每轮中的优化问题

        定义优化:

                定义一个方向量,1表示当前梯度增加,-1表示当前梯度减小,其次定义攻击前的梯度与攻击后的梯度,那么优化问题的实质就是,使得攻击后的梯度与攻击前的梯度差别尽量大。

                \textbf{w}为未受到攻击时的模型,\textbf{w}'_1​为攻击后的模型,s为所有模型参数变化方向的列向量

攻击Krum

                Krum原理是选择相近的模型作为全局模型,则可以约束使其他的本地模型都接近被攻击模型,从而达到使Krum选择攻击模型作为全局模型的目的

        场景:full knowledge

        优化问题的约束是高度非线性的,并且局部模型的搜索空间很大。为了求解需要做两个近似

                对\textbf{w}'_1约束为:\textbf{w}_1' = \textbf{w}_{Re} - \lambda \textbf{s},其中\textbf{w}_{Re}为当前训练轮数中从聚合器收到的全局模型,\lambda > 0。具体描述了投毒模型与全局模型的差距。

                令被控制的c-1个模型尽可能的接近,则\textbf{w}'_1只需要攻击模型与m-2c-1良性模型的距离最小就会使其被Krum选中

        优化目标如下:选取最大的\lambda值;使Krum选中攻击模型;攻击模型满足全局模型(previous)的距离约束;被控制的c-1个模型近似于攻击模型

        上述优化问题的目标函数如下,其中s^T(w-w_{Re})为常数,s^Ts=d d是模型参数个数,因此优化问题即为对\lambda的优化

        对于求解\lambda,首先定义其上界:

        给定上界后,则可用二进制搜索寻找最优\lambda,先使用此上界求解模型\textbf{w}'_1′​的值,若没有被Krum选中,则将\lambda减半继续。

        场景:partial knowledge

        攻击者不知道良性设备上的数据及模型以及模型改变的方向

        方法:基于被攻击客户端的模型模拟良好设备的本地模型。

        计算被攻击前的模型的均值

                使用平均模型估计模型的变化方向:若收到的全局模型的参数大于本地模型的参数,则变化方向为1,否则为-1,定义\overline{\textbf{s}}估计为变化方向向量。

                以被攻击前的本地模型视为良性客户端的本地模型,以此构建模型。

        优化问题化简如下:如同上述方法求解模型,若最终结果仍不合适则添加另一个构建的模型进行求解。

攻击Trimmed mean

        场景:full knowledge

       \text w_{m a x, j}为这一轮中良性模型中的第j个模型参数中的最大值,\text w_{min, j}为最小值

        如果\textbf{s}_j = -1,则选取大于\text w_{m a x, j}的参数c作为c个受损工作设备上的第j个局部模型参数,否则选取任一小于\text w_{min, j}的数作为构建的模型参数。为避免被检测为异常值,c需要尽量接近\text w_{min, j},即c取值范围为[\text w_{max.j},b \cdot \text w_{mim,j}][\text w_{min, j} / b, \text w_{min, j}]中。实验中b取值为2。

        场景:partial knowledge

        同样,以被攻击前的模型作为良性客户端的模型以估计模型的变化方向

        以被攻击前的模型作为良性客户端的模型估计\text w_{min, j}以及\text w_{m a x, j}值。具体方法为计算均值以及标准差,并以作为高斯分布的参数,\text w_{m a x, j}估计为d大于\mu_j+3 \sigma_j或者 \mu_j+4 \sigma_j​,\text w_{min, j}估计为大于\mu_j-3 \sigma_j或者\mu_j-4 \sigma_j

攻击Median

        同Trimmed mean的攻击方法一致。

实验        

        数据集:MNIST,Fashion-MNIST,CH-MNIST。

        采用的分类器:LR以及DNN

        攻击方法比较:Gaussian attack、Back-gradient optimization based attack

        联邦学习参数:

        攻击效果比较:显著优于其他攻击算法

        Krum在大部分情况下略于trimmed mean以及median

        攻击的效果的错误率可能与数据维度有关。

        与集中学习相比,联邦学习的错误率高于集中学习。与平均聚合相比,拜占庭鲁棒聚合规则提高了无攻击时的错误率,但平均聚合在存在攻击时模型无用。

        攻击者数量百分比对攻击效果的影响:一般情况下随着攻击者数量增加,攻击效果加强,标签反转攻击不明显,Gaussian attacks基本不变

        非IID程度对联合学习的影响:图3显示了MNIST上不同程度的非IID的比较攻击的错误率。所有攻击(包括无攻击)的错误率随着非IID程度的增加而增加。

        联邦学习参数对实验的影响:

        SGD训练回合数:随着回合数增加而下降

        工作设备总数:攻击者固定为20%,工作设备越多攻击效果越好

        每次迭代中选择的工作设备数量对我们的攻击的影响:

        trimmed mean的参数\beta\beta越大模型被修剪越多,效果越差。

        Krum中的\epsilon\epsilon越小,被投毒的模型距离越小,越可能被聚合器选中,攻击效果越好。

        攻击的轮数:越多效果越好。

        其他聚合策略:选择测试错误率最低的模型,攻击效果稍微降低但仍然有效。

        聚合规则未知时:基于Krum的攻击能够转移到Trimmed mean以及median,基于Trimmed mean的攻击不适用与Krum,适用于median。

        与反向梯度优化的攻击对比:本文的方法更加有效

        针对模型攻击的防御

        防御方法:

        基于错误率的拒绝防御(ERR)

                防御方法:聚合器有用一个数据集用以检测错误率,计算包含客户端提交的模型以及去除提交的模型的模型错误率,分别记为E_A​以及E_B​,则以E_A - E_B定义为模型对错误率的影响,聚合时删除拥有较大错误率影响的模型。

        基于损失函数的拒绝防御(LFR)

                防御方法:聚合器计算包含以及去除模型的交叉熵损失函数值L_A以及L_B​,将L_A - L_B定义为模型对全局模型的损失影响,聚合时删除拥有较大损失印象的模型。

        上述两种方法联合(Union)

                防御效果:LFR在大部分情况下比ERR有效,Union基本与LFR相同,LFR以及Union只能抵御部分防御,且进行部署防御时错误率将增加。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/645063.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

SpringBatch从入门到实战(六):ItemReader

一&#xff1a;ListItemReader 用于简单的开发测试。 Bean public ItemReader<String> listItemReader() {return new ListItemReader<>(Arrays.asList("a", "b", "c")); }二&#xff1a;FlatFileItemReader 1.1 完全映射 当文件…

万物云原生下的服务进化 | 京东云技术团队

导读&#xff1a; 在万物云原生下的环境下&#xff0c;Java的市场份额也因耗资源、启动慢等缺点&#xff0c;导致在云原生环境里被放大而降低&#xff0c;通过这篇文章&#xff0c;读者可以更好地了解如何在云原生环境下通过升级相关版本和使用GraalVM打出原生镜像到方式&…

Linux之特殊权限

目录 Linux之特殊权限 SUID 定义 案例 原因 查找真个系统的SUID/SGID文件 SGID 定义&#xff1a; Sticky Bit 案例 设置文件和目录的特殊权限 方法一 使用 chmod命令 方法二 使用数字形式的权限模式 设置新建文件或目录的默认权限 设置修改文件的扩展性 设置文件…

MySQL连接查询——外连接

内连接查询顺序 首先看student和exam表的内容&#xff1a; 然后执行如下内连接查询&#xff1a; explain select a.*,b.* from student a inner join exam b on a.uidb.uid;查询计划如下 由于a表记录数量少为小表做全表扫描&#xff08;rows为6&#xff09;&#xff0c;然后到…

微信小程序标签知识点总结

View 标签 <scroll-view class"scroll_list" scroll-x"true"> 标签 设置 scroll-x/y是可以设置 滚动模式到底是x方向还是Y方向 &#xff08; 需要调整样式&#xff0c;请参考如下 .scroll_list{ border: 1px solid red; width: 240px; white-sp…

算法学习day21

文章目录 530.二叉搜索树的最小绝对差递归 501.二叉搜索树中的众数递归 236.二叉树的最近公共祖先递归 总结 530.二叉搜索树的最小绝对差 给你一个二叉搜索树的根节点 root &#xff0c;返回 树中任意两不同节点值之间的最小差值 。 差值是一个正数&#xff0c;其数值等于两值…

管理类联考——逻辑——知识篇——题型说明

管理类联考基础逻辑—逻辑规划 一、联考中逻辑部分的重要性 管理类综合能力测试的数学、逻辑、写作三个部分中&#xff0c;逻辑是毫无疑问最重要的一部分&#xff0c;体现在以下三个方面&#xff1a; 1、时间分配&#xff1a;逻辑部分的阅读量相当大&#xff0c;30道题的阅读…

2023史上最全java面试题题库大全800题含答案

如果你不停地加班。却很少冒险&#xff0c;也很少学习&#xff0c;那你极大可能会陷入到内卷中。 为什么这么说呢&#xff1f;我们先来捋清楚「内卷」的概念&#xff1a; 「内卷化」简而言之就是&#xff1a;日复一日&#xff0c;越混越掉坑里。 所谓内卷化&#xff0c;指一种社…

HTTP 网络通讯过程

1.知识点&#xff1a; 在计算机网络中&#xff0c;通信协议用于规范数据传输的格式和传送方式。下面是常见的网络通信协议&#xff1a; HTTP协议&#xff1a;超文本传输协议&#xff0c;用于在Web浏览器和Web服务器之间传输HTML文件和其他资源。 HTTPS协议&#xff1a;HTTP安…

《水经注地图服务》如何快速发布经纬度DAT缓存

概述 《水经注地图服务》的快速发布功能是一个能够帮助用户实现快速发布地图服务的功能&#xff0c;并且提供常规情况下大多数用户所需的默认配置&#xff0c;让用户在发布地图时更加便捷。 这里为大家演示如何快速发布经纬度DAT缓存以及如何在水经微图中加载。 准备工作 离…

2023-6-14-第五式原型模式

&#x1f37f;*★,*:.☆(&#xffe3;▽&#xffe3;)/$:*.★* &#x1f37f; &#x1f4a5;&#x1f4a5;&#x1f4a5;欢迎来到&#x1f91e;汤姆&#x1f91e;的csdn博文&#x1f4a5;&#x1f4a5;&#x1f4a5; &#x1f49f;&#x1f49f;喜欢的朋友可以关注一下&#xf…

IDEA中类模板注释和方法注释模板

类注释 /* *ClassName ${NAME} *Author --你的别名 *Description //TODO *Date ${DATE} ${TIME} *Version 1.0 **/ 把上面的代码粘贴到settings-editor-file and code templates下的class的“public class”和#parese的中间 2.方法注释 /* *Author --你的别名 *Description …

ZK+麦克风:反AI音频认证

1. 引言 当前&#xff0c;已越来越难以区分AI生成的音频与人类的声音。可能带来欺诈、身份盗用以及其它滥用问题。 在AI生成的音频可以完美模仿人声的当前环境中&#xff0c;需要一个可靠的信任链——从最初的音频捕获到最终的播放。这种信任链可以使用加密技术建立&#xff…

Java实训日志04

文章目录 八、项目开发实现步骤&#xff08;六&#xff09;创建数据访问接口1、创建学校数据访问接口2、创建状态数据访问接口3、创建学生数据访问接口4、创建用户数据访问接口 八、项目开发实现步骤 &#xff08;六&#xff09;创建数据访问接口 DAO: Data Acess Object - 数…

antd-vue - - - - - upload组件的使用

upload组件的使用 参数说明&#xff1a; file:list : 上传列表数据 name: 上传时的key data: 上传时额外的参数 header: 上传列表数据 actions: 上传接口地址 before-upload: 上传之前的回掉 change: 传文件改变时 // 变量定义updateData: { billId: "", fileType: &…

Flutter 自定义Grade组件

/*** images 图片数组* titles title数组* length_w 一行的数量* length_h 行数*/static Widget getMenuGrade(List<String> images, List<String> titles, int length_w, int length_h) {int startIndex 0;List<Widget> rowList [];List<List<Widge…

docker-compose服务名称和容器名称区别

需求及结论 在docker-compose文件一般书写如下&#xff1a; version: 3.8 x-logging: &default-loggingoptions:max-size: "200m"max-file: "5"driver: json-file x-environment: &default-environmentTZ: Asia/ShanghaiLANG: C.UTF-8 services:…

前端什么最难学?

前言 个人认为是JS&#xff0c;无论是在平时的项目或者找工作时候JS都是大头&#xff0c;相比起其他的部分&#xff0c;它相对而言是难一点&#xff0c;同时也是十分重要的一部分&#xff0c;学好原生JS&#xff0c;后续的学习才能基于此循序渐进&#xff0c;下面是我总结的关…

(2023 最新版)大厂面试必问的1000道Java面试题附答案详解

很多 Java 工程师的技术不错&#xff0c;但是一面试就头疼&#xff0c;10 次面试 9 次都是被刷&#xff0c;过的那次还是去了家不知名的小公司。 问题就在于&#xff1a;面试有技巧&#xff0c;而你不会把自己的能力表达给面试官。 应届生&#xff1a;你该如何准备简历&#x…

报表生成器FastReport .Net用户指南:“SVG”对象

FastReport .Net是一款全功能的Windows Forms、ASP.NET和MVC报表分析解决方案&#xff0c;使用FastReport .NET可以创建独立于应用程序的.NET报表&#xff0c;同时FastReport .Net支持中文、英语等14种语言&#xff0c;可以让你的产品保证真正的国际性。 FastReport.NET官方版…