Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Free-riders in Federated Learning: Attacks and Defenses

Jierui Lin, Min Du|arXiv (Cornell University)|Nov 28, 2019
Privacy-Preserving Technologies in Data参考文献 34被引用数 68
ひとこと要約

この論文は連合学習におけるフリーライダー攻撃を定義し、偽の勾配更新を識別する STD-DAGMM デテクターを紹介し、さまざまなデータ分布とプライバシ設定の下でランダム、デルタ、および高度デルタ重み攻撃に対する防御を評価します。

ABSTRACT

Federated learning is a recently proposed paradigm that enables multiple clients to collaboratively train a joint model. It allows clients to train models locally, and leverages the parameter server to generate a global model by aggregating the locally submitted gradient updates at each round. Although the incentive model for federated learning has not been fully developed, it is supposed that participants are able to get rewards or the privilege to use the final global model, as a compensation for taking efforts to train the model. Therefore, a client who does not have any local data has the incentive to construct local gradient updates in order to deceive for rewards. In this paper, we are the first to propose the notion of free rider attacks, to explore possible ways that an attacker may construct gradient updates, without any local training data. Furthermore, we explore possible defenses that could detect the proposed attacks, and propose a new high dimensional detection method called STD-DAGMM, which particularly works well for anomaly detection of model parameters. We extend the attacks and defenses to consider more free riders as well as differential privacy, which sheds light on and calls for future research in this field.

研究の動機と目的

  • 連合学習におけるフリーライダー攻撃の概念を導入し、報酬とモデルの有用性への影響を動機づける。
  • 発生し得る偽勾配攻撃を特徴づけ、既存の異常検知器を用いてその検出可能性を分析する。
  • 偽の更新を頑健に検出する新しい高次元検出法(STD-DAGMM)を提案する。
  • データ分布の変化とプライバシー考慮(差分プライバシーを含む) の下で攻撃防御を評価する。

提案手法

  • フリーライダーを、ローカルデータの訓練なしで偽の勾配更新を提出するクライアントとして定義する。
  • 攻撃戦略を開発・分析する:ランダム重み、デルタ重み、ガウスノイズを伴う高度デルタ重み。
  • STD(標準偏差)を DAGMM に組み込み、検出性能を向上させた STD-DAGMM を形成する。
  • モデル更新ベクトルの高次元異常検知器として DAGMM を活用する。
  • MNIST での検出性能をデータ分布と学習率の変化を伴って実証的に評価する。差分プライバシーへの議論を拡張する。

実験結果

リサーチクエスチョン

  • RQ1フリーライダーとなるクライアントは、連合学習において一般的な検出器を回避する偽の勾配更新をどのように構築できるか。
  • RQ2高次元異常検知器(DAGMM)と提案された STD-DAGMM は、さまざまな攻撃戦略とデータ分布の下で偽更新を識別する際にどれだけ有効か。
  • RQ3学習率、データの非均質性、および差分プライバシーは、フリーライダー攻撃の検知可能性と防御の堅牢性にどのように影響するか。

主な発見

  • ランダム重み攻撃はオートエンコーダ検知器を回避できることがあるが、DAGMM で検知可能である;STD-DAGMM は検知をさらに強化する。
  • デルタ重み攻撃は特定の設定下で DAGMM を回避できるが、STD-DAGMM は学習率(eta)とデータ分布を問わず有効である。
  • STD-DAGMM はガウスノイズを伴う高度デルタ重みを含むフリーライダーを一貫して検出し、状況を問わず DAGMM のみを上回る。
  • 差分プライバシーは攻撃の有効性を緩和し、検知を助ける可能性があり、DP が攻撃の実行可能性と防御の両方に影響を与えることを示している。
  • 複数のフリーライダーとさまざまな比率の場合、STD-DAGMM は DAGMM よりも高い AUC を達成するが、すべてのケースで閾値がすべての攻撃者を完璧に分離するわけではない。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。