論文の概要: Technical Report: Assisting Backdoor Federated Learning with Whole
Population Knowledge Alignment
- arxiv url: http://arxiv.org/abs/2207.12327v1
- Date: Mon, 25 Jul 2022 16:38:31 GMT
- ステータス: 処理完了
- システム内更新日: 2022-07-26 14:18:30.546981
- Title: Technical Report: Assisting Backdoor Federated Learning with Whole
Population Knowledge Alignment
- Title(参考訳): 総人口知識アライメントを用いたバックドアフェデレーション学習支援技術報告
- Authors: Tian Liu, Xueyang Hu, Tao Shu
- Abstract要約: 単発バックドア攻撃は、FLモデル収束時にメインタスクとバックドアサブタスクの両方で高い精度を達成する。
後続のバックドアアタックの予備段階を含む2段階のバックドアアタックを提案する。
予備段階から見れば、後から注入されたバックドアは、通常のモデル更新によってバックドア効果が希薄になりにくくなるため、効果が向上する。
- 参考スコア(独自算出の注目度): 4.87359365320076
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Due to the distributed nature of Federated Learning (FL), researchers have
uncovered that FL is vulnerable to backdoor attacks, which aim at injecting a
sub-task into the FL without corrupting the performance of the main task.
Single-shot backdoor attack achieves high accuracy on both the main task and
backdoor sub-task when injected at the FL model convergence. However, the
early-injected single-shot backdoor attack is ineffective because: (1) the
maximum backdoor effectiveness is not reached at injection because of the
dilution effect from normal local updates; (2) the backdoor effect decreases
quickly as the backdoor will be overwritten by the newcoming normal local
updates. In this paper, we strengthen the early-injected single-shot backdoor
attack utilizing FL model information leakage. We show that the FL convergence
can be expedited if the client trains on a dataset that mimics the distribution
and gradients of the whole population. Based on this observation, we proposed a
two-phase backdoor attack, which includes a preliminary phase for the
subsequent backdoor attack. In the preliminary phase, the attacker-controlled
client first launches a whole population distribution inference attack and then
trains on a locally crafted dataset that is aligned with both the gradient and
inferred distribution. Benefiting from the preliminary phase, the later
injected backdoor achieves better effectiveness as the backdoor effect will be
less likely to be diluted by the normal model updates. Extensive experiments
are conducted on MNIST dataset under various data heterogeneity settings to
evaluate the effectiveness of the proposed backdoor attack. Results show that
the proposed backdoor outperforms existing backdoor attacks in both success
rate and longevity, even when defense mechanisms are in place.
- Abstract(参考訳): FL(Federated Learning)の分散した性質から、FLがバックドア攻撃に対して脆弱であることが判明した。
単発バックドア攻撃は、FLモデル収束時にメインタスクとバックドアサブタスクの両方で高い精度を達成する。
しかし, 早期の単発バックドア攻撃は, 1) 通常の局所更新による希釈効果により, 最大バックドア効果が注入時に到達しない, 2) バックドア効果が急速に低下し, 新たな局所更新によってバックドアがオーバーライトされるため, 効果が低い。
本稿ではFLモデル情報漏洩を利用した早期単発バックドア攻撃を強化する。
FL収束は、クライアントが全人口の分布と勾配を模倣するデータセットを訓練した場合、迅速に行うことができることを示す。
この観察に基づいて,後続のバックドア攻撃の予備段階を含む2相バックドア攻撃を提案する。
事前フェーズでは、攻撃者が制御したクライアントがまず全人口分布推定攻撃を起動し、その後、勾配と推定分布の両方に整合した局所的なデータセットをトレーニングする。
予備段階から見れば、後から注入されたバックドアは、通常のモデル更新によってバックドア効果が希薄になるため、よりよい効果が得られる。
提案したバックドア攻撃の有効性を評価するため,様々なデータ不均一性設定下でMNISTデータセットに対して大規模な実験を行った。
提案したバックドア攻撃は,防御機構がある場合でも,成功率と長寿の両方で既存のバックドア攻撃よりも優れていた。
関連論文リスト
- TransTroj: Transferable Backdoor Attacks to Pre-trained Models via
Embedding Indistinguishability [65.21878718144663]
本稿では,トランスポート可能なバックドア攻撃であるTransTrojを提案する。
実験の結果,TransTrojはSOTAタスク非依存のバックドア攻撃よりも有意に優れていた。
論文 参考訳(メタデータ) (2024-01-29T04:35:48Z) - Setting the Trap: Capturing and Defeating Backdoors in Pretrained
Language Models through Honeypots [68.84056762301329]
近年の研究では、バックドア攻撃に対するプレトレーニング言語モデル(PLM)の感受性が明らかにされている。
バックドア情報のみを吸収するために,ハニーポットモジュールをオリジナルのPLMに統合する。
我々の設計は、PLMの低層表現が十分なバックドア特徴を持っているという観察に動機づけられている。
論文 参考訳(メタデータ) (2023-10-28T08:21:16Z) - Backdoor Attack with Sparse and Invisible Trigger [60.84183404621145]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアアタックは、訓練段階の脅威を脅かしている。
軽度で目に見えないバックドアアタック(SIBA)を提案する。
論文 参考訳(メタデータ) (2023-05-11T10:05:57Z) - FedGrad: Mitigating Backdoor Attacks in Federated Learning Through Local
Ultimate Gradients Inspection [3.3711670942444014]
フェデレートラーニング(FL)は、複数のクライアントが機密データを妥協することなくモデルをトレーニングすることを可能にする。
FLの分散的な性質は、特に訓練中のバックドア挿入において、敵の攻撃に敏感である。
我々は,最先端のバックドア攻撃に抵抗するFLに対するバックドア耐性防御であるFedGradを提案する。
論文 参考訳(メタデータ) (2023-04-29T19:31:44Z) - Mitigating Backdoors in Federated Learning with FLD [7.908496863030483]
フェデレーション学習は、クライアントがプライバシー保護のために生データをアップロードすることなく、グローバルモデルを協調的にトレーニングすることを可能にする。
この機能は最近、バックドア攻撃に直面したフェデレーション学習の脆弱性の原因となっていることが判明した。
バックドア攻撃に対して効果的に防御する新しいモデルフィルタリング手法であるフェデレート層検出(FLD)を提案する。
論文 参考訳(メタデータ) (2023-03-01T07:54:54Z) - Backdoor Defense via Suppressing Model Shortcuts [91.30995749139012]
本稿では,モデル構造の角度からバックドア機構を探索する。
攻撃成功率 (ASR) は, キースキップ接続の出力を減少させると著しく低下することを示した。
論文 参考訳(メタデータ) (2022-11-02T15:39:19Z) - Confidence Matters: Inspecting Backdoors in Deep Neural Networks via
Distribution Transfer [27.631616436623588]
本稿では,新しい観測結果を基にしたバックドアディフェンスDTInspectorを提案する。
DTInspectorは、ほとんどの高信頼データの予測を変える可能性のあるパッチを学び、それからバックドアの存在を決定する。
論文 参考訳(メタデータ) (2022-08-13T08:16:28Z) - A Knowledge Distillation-Based Backdoor Attack in Federated Learning [9.22321085045949]
Adversarial Knowledge Distillation (ADVKD) は、Federated Learning (FL) における知識蒸留とバックドアアタックを組み合わせた手法である。
以上の結果から,ADVKDは攻撃成功率が高いだけでなく,他の手法が失敗しても防御を回避できることが示唆された。
論文 参考訳(メタデータ) (2022-08-12T08:52:56Z) - Neurotoxin: Durable Backdoors in Federated Learning [73.82725064553827]
連合学習システムは バックドア攻撃の訓練中に 固有の脆弱性がある
我々は,既存のバックドア攻撃に対する単純な一直線修正であるニューロトキシンを提案する。
論文 参考訳(メタデータ) (2022-06-12T16:52:52Z) - Black-box Detection of Backdoor Attacks with Limited Information and
Data [56.0735480850555]
モデルへのクエリアクセスのみを用いてバックドア攻撃を同定するブラックボックスバックドア検出(B3D)手法を提案する。
バックドア検出に加えて,同定されたバックドアモデルを用いた信頼性の高い予測手法を提案する。
論文 参考訳(メタデータ) (2021-03-24T12:06:40Z) - Defending against Backdoors in Federated Learning with Robust Learning
Rate [25.74681620689152]
フェデレートラーニング(FL)は、エージェントの集合が、潜在的に敏感なデータを共有せずに、協調的にモデルをトレーニングすることを可能にする。
バックドア攻撃において、敵はトレーニング中にモデルにバックドア機能を埋め込もうとする。
FLプロトコルの変更を最小限に抑える軽量ディフェンスを提案する。
論文 参考訳(メタデータ) (2020-07-07T23:38:35Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。