【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

这篇具有很好参考价值的文章主要介绍了【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

个人阅读笔记,如有错误欢迎指出!

会议: Usenix 2020 [1911.11815] Local Model Poisoning Attacks to Byzantine-Robust Federated Learning (arxiv.org)

问题:

        模型攻击对拜占庭鲁棒性联邦学习的攻击效果尚未清楚

创新点:

        1、基于不同防御方法,设计了具有针对性的模型攻击方式

        2、概括了基于错误率以及基于损失函数的防御方法,测试了两种防御方法的效果。

方法:

        攻击场景:training phase中对基于本地训练数据的模型在训练过程中进行攻击

        攻击者的要求:控制部分参与模型中的训练参数

        本地模型攻击:

                主要挑战:如何将被攻击的本地模型进行改造并发送至服务器

                方法:对投毒后的本地模型进行约束,转化为每轮中的优化问题

        定义优化:

                定义一个方向量,1表示当前梯度增加,-1表示当前梯度减小,其次定义攻击前的梯度与攻击后的梯度,那么优化问题的实质就是,使得攻击后的梯度与攻击前的梯度差别尽量大。

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

                为未受到攻击时的模型,​为攻击后的模型,为所有模型参数变化方向的列向量

攻击Krum

                Krum原理是选择相近的模型作为全局模型,则可以约束使其他的本地模型都接近被攻击模型,从而达到使Krum选择攻击模型作为全局模型的目的

        场景:full knowledge

        优化问题的约束是高度非线性的,并且局部模型的搜索空间很大。为了求解需要做两个近似

                对约束为:,其中为当前训练轮数中从聚合器收到的全局模型,。具体描述了投毒模型与全局模型的差距。

                令被控制的c-1个模型尽可能的接近,则只需要攻击模型与良性模型的距离最小就会使其被Krum选中

        优化目标如下:选取最大的值;使Krum选中攻击模型;攻击模型满足全局模型(previous)的距离约束;被控制的c-1个模型近似于攻击模型

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

        上述优化问题的目标函数如下,其中为常数, 是模型参数个数,因此优化问题即为对的优化

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

        对于求解,首先定义其上界:

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

        给定上界后,则可用二进制搜索寻找最优,先使用此上界求解模型′​的值,若没有被Krum选中,则将减半继续。

        场景:partial knowledge

        攻击者不知道良性设备上的数据及模型以及模型改变的方向

        方法:基于被攻击客户端的模型模拟良好设备的本地模型。

        计算被攻击前的模型的均值

                使用平均模型估计模型的变化方向:若收到的全局模型的参数大于本地模型的参数,则变化方向为1,否则为-1,定义估计为变化方向向量。

                以被攻击前的本地模型视为良性客户端的本地模型,以此构建模型。

        优化问题化简如下:如同上述方法求解模型,若最终结果仍不合适则添加另一个构建的模型进行求解。

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

攻击Trimmed mean

        场景:full knowledge

       为这一轮中良性模型中的第j个模型参数中的最大值,为最小值

        如果,则选取大于的参数作为c个受损工作设备上的第个局部模型参数,否则选取任一小于的数作为构建的模型参数。为避免被检测为异常值,需要尽量接近,即取值范围为、中。实验中取值为2。

        场景:partial knowledge

        同样,以被攻击前的模型作为良性客户端的模型以估计模型的变化方向

        以被攻击前的模型作为良性客户端的模型估计以及值。具体方法为计算均值以及标准差,并以作为高斯分布的参数,估计为大于【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning或者 【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning​,估计为大于或者。

攻击Median

        同Trimmed mean的攻击方法一致。

实验        

        数据集:MNIST,Fashion-MNIST,CH-MNIST。

        采用的分类器:LR以及DNN

        攻击方法比较:Gaussian attack、Back-gradient optimization based attack

        联邦学习参数:

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

        攻击效果比较:显著优于其他攻击算法

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

        Krum在大部分情况下略于trimmed mean以及median

        攻击的效果的错误率可能与数据维度有关。

        与集中学习相比,联邦学习的错误率高于集中学习。与平均聚合相比,拜占庭鲁棒聚合规则提高了无攻击时的错误率,但平均聚合在存在攻击时模型无用。

        攻击者数量百分比对攻击效果的影响:一般情况下随着攻击者数量增加,攻击效果加强,标签反转攻击不明显,Gaussian attacks基本不变

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

        非IID程度对联合学习的影响:图3显示了MNIST上不同程度的非IID的比较攻击的错误率。所有攻击(包括无攻击)的错误率随着非IID程度的增加而增加。

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

        联邦学习参数对实验的影响:

        SGD训练回合数:随着回合数增加而下降

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

        工作设备总数:攻击者固定为20%,工作设备越多攻击效果越好

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

        每次迭代中选择的工作设备数量对我们的攻击的影响:

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

        trimmed mean的参数:越大模型被修剪越多,效果越差。

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

        Krum中的:越小,被投毒的模型距离越小,越可能被聚合器选中,攻击效果越好。

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

        攻击的轮数:越多效果越好。

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

        其他聚合策略:选择测试错误率最低的模型,攻击效果稍微降低但仍然有效。

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

        聚合规则未知时:基于Krum的攻击能够转移到Trimmed mean以及median,基于Trimmed mean的攻击不适用与Krum,适用于median。

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

        与反向梯度优化的攻击对比:本文的方法更加有效

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning

        针对模型攻击的防御

        防御方法:

        基于错误率的拒绝防御(ERR)

                防御方法:聚合器有用一个数据集用以检测错误率,计算包含客户端提交的模型以及去除提交的模型的模型错误率,分别记为​以及​,则以定义为模型对错误率的影响,聚合时删除拥有较大错误率影响的模型。

        基于损失函数的拒绝防御(LFR)

                防御方法:聚合器计算包含以及去除模型的交叉熵损失函数值以及​,将定义为模型对全局模型的损失影响,聚合时删除拥有较大损失印象的模型。

        上述两种方法联合(Union)

                防御效果:LFR在大部分情况下比ERR有效,Union基本与LFR相同,LFR以及Union只能抵御部分防御,且进行部署防御时错误率将增加。

【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning文章来源地址https://www.toymoban.com/news/detail-495372.html

到了这里,关于【论文阅读笔记】Local Model Poisoning Attacks to Byzantine-Robust Federated Learning的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【论文阅读笔记】Sam3d: Segment anything model in volumetric medical images[

    Bui N T, Hoang D H, Tran M T, et al. Sam3d: Segment anything model in volumetric medical images[J]. arXiv preprint arXiv:2309.03493, 2023.【开源】 本文提出的SAM3D模型是针对三维体积医学图像分割的一种新方法。其核心在于将“分割任何事物”(SAM)模型的预训练编码器与一个轻量级的3D解码器相结合。与

    2024年01月20日
    浏览(45)
  • 自监督论文阅读笔记 RingMo: A Remote Sensing Foundation Model with Masked Image Modeling

            深度学习方法促进了遥感 (RS) 图像解释的快速发展。最广泛使用的训练范式是利用 ImageNet 预训练模型来处理指定任务的 RS 数据。然而,存在  自然场景与RS场景之间的领域差距 ,以及 RS模型泛化能力差 等问题。开发 具有通用 RS 特征表示的基础模型 是有意义的。

    2024年02月16日
    浏览(52)
  • Low-Light Image Enhancement via Self-Reinforced Retinex Projection Model 论文阅读笔记

    这是马龙博士2022年在TMM期刊发表的基于改进的retinex方法去做暗图增强(非深度学习)的一篇论文 文章用一张图展示了其动机,第一行是估计的亮度层,第二列是通常的retinex方法会对估计的亮度层进行RTV约束优化,从而产生平滑的亮度层,然后原图除以亮度层产生照度层作为

    2024年02月16日
    浏览(47)
  • clean-label backdoor attacks 论文笔记

    #论文笔记# 论文名称 Clean-Label Backdoor Attacks 作者 Alexander Turner(MIT) 会议/出版社 ICLR 2019 pdf 本地pdf 在线pdf 代码 trojanzoo-clean-label**** Label-Consistent 其他 这篇文章和 Label-Consistent Backdoor Attacks 基本相同 简介:这篇文章是最早做干净标签下的后门攻击的文章。作者在 BadNets 上进行了

    2024年02月15日
    浏览(39)
  • 论文笔记:Privacy-Preserving Byzantine-Robust Federated Learning via Blockchain Systems

    会议来源:IEEE TRANSACTIONS ON INFORMA TION FORENSICS AND SECURITY , VOL. 17, 2022 1.分布式机器学习在海量数据上实现了更大模型的训练,但仍然容易受到安全和隐私泄露的影响 2.保护隐私的联邦学习方案之一是使用同态加密方案(如Paillier),对局部梯度进行加密,但局部梯度难以计算和传输

    2024年02月04日
    浏览(43)
  • Privacy-Preserving Byzantine-Robust Federated Learning via Blockchain Systems论文笔记

    总述:本文提出了一种PBFL的方案,可以用来验证用户上传的梯度信息(主要使用到的是余弦相似性),过滤恶意用户的梯度;并且可以防止服务器的单点故障,利用区块链使得协议的执行更加的透明。 本文的主要贡献:因为之前使用的同态加密方案存在低效的问题(具体而

    2024年01月22日
    浏览(48)
  • 论文阅读---REALISE model

    1.utilizes multiple encoders to obtain the semantic ,phonetic , and graphic information to distinguish the similarities of Chinese characters and correct the spelling errors. 2.And then, develop a selective modality fusion module to obtain the context-aware multimodal representations. 3.Finally ,the output layer predict the probabilities of error corrections

    2024年02月11日
    浏览(48)
  • ExposureDiffusion: Learning to Expose for Low-light Image Enhancement论文阅读笔记

    南洋理工大学、鹏城实验室、香港理工大学在ICCV2023发表的暗图增强论文。用diffusion模型来进行raw图像暗图增强,同时提出了一个自适应的残差层用来对具有不同信噪比的不同区域采取不同的去噪策略。 方法的框图如下所示: 一张raw图片可以由信号和噪声组成,其中信号是曝

    2024年02月07日
    浏览(41)
  • Abandoning the Bayer-Filter to See in the Dark 论文阅读笔记

    这是CVPR2022的一篇暗图增强的文章,TCL AI Lab与福州大学,韩国延世大学,安徽大学的合作论文 网络以黑暗环境下拍摄的color raw为输入,用一个de-bayer-filter module恢复无拜尔滤波器的raw data(文章认为拜尔滤波器使得光子数量被滤去许多,无拜尔滤波器的摄像机拍摄得到的raw d

    2024年02月16日
    浏览(52)
  • 论文阅读 Stepwise Feature Fusion: Local Guides Global

    我在找论文时发现,把自己的分割模型命名为ssformer的有两个:,一个论文SSformer: A Lightweight Transformer for Semantic Segmentation中提出的一种轻量级Transformer模型,结构如下 这个结构很简单,就是在用MLP层处理一下不同层的swin transformer block特征,然后融合。 这个没什么太多好说的

    2024年03月16日
    浏览(70)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包