論文の概要: Mitigating Adversarial Attacks in Federated Learning with Trusted
Execution Environments
- arxiv url: http://arxiv.org/abs/2309.07197v1
- Date: Wed, 13 Sep 2023 14:19:29 GMT
- ステータス: 処理完了
- システム内更新日: 2023-09-15 17:20:32.539978
- Title: Mitigating Adversarial Attacks in Federated Learning with Trusted
Execution Environments
- Title(参考訳): 信頼された実行環境における連合学習における敵対的攻撃の軽減
- Authors: Simon Queyrut, Valerio Schiavoni, Pascal Felber
- Abstract要約: 画像ベースアプリケーションでは、敵対的な例は、局所モデルによって誤って分類される人間の目に対してわずかに摂動した画像で構成されている。
PeltaはTrusted Execution Environments(TEEs)を利用した新しい遮蔽機構で、攻撃者が敵のサンプルを作る能力を減らす。
Peltaは6つのホワイトボックスの対人攻撃を緩和する効果を示した。
- 参考スコア(独自算出の注目度): 1.8240624028534085
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: The main premise of federated learning (FL) is that machine learning model
updates are computed locally to preserve user data privacy. This approach
avoids by design user data to ever leave the perimeter of their device. Once
the updates aggregated, the model is broadcast to all nodes in the federation.
However, without proper defenses, compromised nodes can probe the model inside
their local memory in search for adversarial examples, which can lead to
dangerous real-world scenarios. For instance, in image-based applications,
adversarial examples consist of images slightly perturbed to the human eye
getting misclassified by the local model. These adversarial images are then
later presented to a victim node's counterpart model to replay the attack.
Typical examples harness dissemination strategies such as altered traffic signs
(patch attacks) no longer recognized by autonomous vehicles or seemingly
unaltered samples that poison the local dataset of the FL scheme to undermine
its robustness. Pelta is a novel shielding mechanism leveraging Trusted
Execution Environments (TEEs) that reduce the ability of attackers to craft
adversarial samples. Pelta masks inside the TEE the first part of the
back-propagation chain rule, typically exploited by attackers to craft the
malicious samples. We evaluate Pelta on state-of-the-art accurate models using
three well-established datasets: CIFAR-10, CIFAR-100 and ImageNet. We show the
effectiveness of Pelta in mitigating six white-box state-of-the-art adversarial
attacks, such as Projected Gradient Descent, Momentum Iterative Method, Auto
Projected Gradient Descent, the Carlini & Wagner attack. In particular, Pelta
constitutes the first attempt at defending an ensemble model against the
Self-Attention Gradient attack to the best of our knowledge. Our code is
available to the research community at https://github.com/queyrusi/Pelta.
- Abstract(参考訳): FL(Federated Learning)の主な前提は、機械学習モデルの更新をローカルに計算して、ユーザのデータのプライバシを保存することである。
このアプローチは、ユーザデータを設計することで、デバイス周縁部を離れることを避ける。
更新が集約されると、モデルはフェデレーション内のすべてのノードにブロードキャストされる。
しかし、適切な防御がなければ、妥協されたノードは、敵の例を探すために、ローカルメモリ内のモデルを探索することができる。
例えば、画像ベースのアプリケーションでは、敵対的な例は、局所モデルによって誤って分類される人間の目に対してわずかに摂動するイメージで構成されている。
その後、これらの敵画像は、被害者ノードの対応するモデルに提示され、攻撃を再生する。
典型的な例は、変更された交通標識(パッチ攻撃)のような普及戦略を利用しており、もはや自動運転車には認識されず、flスキームのローカルデータセットを汚染して堅牢性を損なう一見無変化のサンプルも認識されていない。
PeltaはTrusted Execution Environments(TEEs)を利用した新しい遮蔽機構で、攻撃者が敵のサンプルを作る能力を減らす。
TEE内のペルタマスクはバックプロパゲーションチェーンルールの最初の部分であり、攻撃者が悪質なサンプルを作るために悪用する。
我々は,CIFAR-10,CIFAR-100,ImageNetの3つの確立されたデータセットを用いて,最先端の精度モデル上でPeltaを評価する。
我々は, Pelta が, 投射グラディエントDescent, Momentum Iterative Method, Auto Projected Gradient Descent, the Carlini & Wagner attack などの6つの対向攻撃を緩和する効果を示した。
特にペルタは、我々の知識を最大限に活用する自発的勾配攻撃に対してアンサンブルモデルを防御する最初の試みである。
私たちのコードは、https://github.com/queyrusi/pelta.comのリサーチコミュニティから入手できます。
関連論文リスト
- Memory Backdoor Attacks on Neural Networks [3.2720947374803777]
本稿では,特定のトレーニングサンプルに対してモデルを秘密裏に訓練し,後に選択的に出力するメモリバックドア攻撃を提案する。
画像分類器、セグメンテーションモデル、および大規模言語モデル(LLM)に対する攻撃を実証する。
論文 参考訳(メタデータ) (2024-11-21T16:09:16Z) - One-bit Flip is All You Need: When Bit-flip Attack Meets Model Training [54.622474306336635]
メモリフォールトインジェクション技術を利用したビットフリップ攻撃(BFA)と呼ばれる新たな重み修正攻撃が提案された。
本稿では,高リスクモデルを構築するための訓練段階に敵が関与する,訓練支援ビットフリップ攻撃を提案する。
論文 参考訳(メタデータ) (2023-08-12T09:34:43Z) - Pelta: Shielding Transformers to Mitigate Evasion Attacks in Federated
Learning [0.6445605125467573]
我々は、信頼されたハードウェアを活用する新しいシールド機構であるPeltaを紹介する。
我々は,ペルタをアートアンサンブルモデルを用いて評価し,自己注意勾配攻撃に対する効果を実証した。
論文 参考訳(メタデータ) (2023-08-08T16:22:44Z) - MOVE: Effective and Harmless Ownership Verification via Embedded
External Features [109.19238806106426]
本稿では,異なる種類のモデル盗難を同時に防ぐために,効果的かつ無害なモデル所有者認証(MOVE)を提案する。
我々は、疑わしいモデルがディフェンダー特定外部特徴の知識を含むかどうかを検証し、所有権検証を行う。
特に、包括的モデル保護を提供するために、ホワイトボックスとブラックボックスの両方の設定でMOVE法を開発した。
論文 参考訳(メタデータ) (2022-08-04T02:22:29Z) - FL-Defender: Combating Targeted Attacks in Federated Learning [7.152674461313707]
フェデレートラーニング(FL)は、グローバル機械学習モデルを、参加する労働者のセット間で分散されたローカルデータから学習することを可能にする。
FLは、学習モデルの完全性に悪影響を及ぼす標的の毒殺攻撃に対して脆弱である。
FL標的攻撃に対抗する手段として,textitFL-Defenderを提案する。
論文 参考訳(メタデータ) (2022-07-02T16:04:46Z) - CARLA-GeAR: a Dataset Generator for a Systematic Evaluation of
Adversarial Robustness of Vision Models [61.68061613161187]
本稿では,合成データセットの自動生成ツールであるCARLA-GeARについて述べる。
このツールは、Python APIを使用して、CARLAシミュレータ上に構築されており、自律運転のコンテキストにおいて、いくつかのビジョンタスク用のデータセットを生成することができる。
本稿では,CARLA-GeARで生成されたデータセットが,現実世界の敵防衛のベンチマークとして今後どのように利用されるかを示す。
論文 参考訳(メタデータ) (2022-06-09T09:17:38Z) - When the Curious Abandon Honesty: Federated Learning Is Not Private [36.95590214441999]
フェデレーション・ラーニング(FL)では、データは機械学習モデルを共同で訓練しているときに個人デバイスを離れない。
我々は、アクティブで不正直な中央組織が受信した勾配からユーザデータを効率的に抽出できる新しいデータ再構成攻撃を示す。
論文 参考訳(メタデータ) (2021-12-06T10:37:03Z) - Evaluating the Robustness of Semantic Segmentation for Autonomous
Driving against Real-World Adversarial Patch Attacks [62.87459235819762]
自動運転車のような現実のシナリオでは、現実の敵例(RWAE)にもっと注意を払わなければならない。
本稿では,デジタルおよび実世界の敵対パッチの効果を検証し,一般的なSSモデルのロバスト性を詳細に評価する。
論文 参考訳(メタデータ) (2021-08-13T11:49:09Z) - Practical No-box Adversarial Attacks against DNNs [31.808770437120536]
我々は、攻撃者がモデル情報やトレーニングセットにアクセスしたり、モデルに問い合わせたりできない、ノンボックスの逆例を調査する。
非常に小さなデータセットでトレーニングを行うための3つのメカニズムを提案し、プロトタイプの再構築が最も効果的であることを示す。
提案手法は, システムの平均予測精度を15.40%に低下させ, 事前学習したArcfaceモデルから, 敵のサンプルを転送する攻撃と同等にする。
論文 参考訳(メタデータ) (2020-12-04T11:10:03Z) - Sampling Attacks: Amplification of Membership Inference Attacks by
Repeated Queries [74.59376038272661]
本手法は,他の標準メンバーシップ相手と異なり,被害者モデルのスコアにアクセスできないような厳格な制限の下で動作可能な,新しいメンバーシップ推論手法であるサンプリングアタックを導入する。
ラベルのみを公開している被害者モデルでは,攻撃のサンプリングが引き続き可能であり,攻撃者はその性能の最大100%を回復できることを示す。
防衛においては,被害者モデルのトレーニング中の勾配摂動と予測時の出力摂動の形式で差分プライバシーを選択する。
論文 参考訳(メタデータ) (2020-09-01T12:54:54Z) - DaST: Data-free Substitute Training for Adversarial Attacks [55.76371274622313]
本研究では,敵対的ブラックボックス攻撃の代替モデルを得るためのデータフリー代替訓練法(DaST)を提案する。
これを実現するため、DaSTは特別に設計されたGANを用いて代替モデルを訓練する。
実験では、代替モデルがベースラインモデルと比較して競争性能を発揮することを示した。
論文 参考訳(メタデータ) (2020-03-28T04:28:13Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。