論文の概要: Can We Trust the Similarity Measurement in Federated Learning?
- arxiv url: http://arxiv.org/abs/2311.03369v1
- Date: Fri, 20 Oct 2023 20:37:21 GMT
- ステータス: 処理完了
- システム内更新日: 2023-11-12 19:48:23.655807
- Title: Can We Trust the Similarity Measurement in Federated Learning?
- Title(参考訳): 連合学習における類似度測定を信頼できるか?
- Authors: Zhilin Wang, Qin Hu, Xukai Zou
- Abstract要約: 我々はまず,良性モデルや有毒モデルを含む高次元局所モデルと同一の類似度を持つと評価されるような類似度指標の欠如を明らかにする。
そして、この発見を活用して、新たな標的のないモデル中毒攻撃、Fakerを考案する。
Fakerは1.1-9.0Xの精度と1.2-8.0Xのコスト削減で最先端のベンチマーク攻撃を上回っている。
- 参考スコア(独自算出の注目度): 6.665062633310875
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Is it secure to measure the reliability of local models by similarity in
federated learning (FL)? This paper delves into an unexplored security threat
concerning applying similarity metrics, such as the L_2 norm, Euclidean
distance, and cosine similarity, in protecting FL. We first uncover the
deficiencies of similarity metrics that high-dimensional local models,
including benign and poisoned models, may be evaluated to have the same
similarity while being significantly different in the parameter values. We then
leverage this finding to devise a novel untargeted model poisoning attack,
Faker, which launches the attack by simultaneously maximizing the evaluated
similarity of the poisoned local model and the difference in the parameter
values. Experimental results based on seven datasets and eight defenses show
that Faker outperforms the state-of-the-art benchmark attacks by 1.1-9.0X in
reducing accuracy and 1.2-8.0X in saving time cost, which even holds for the
case of a single malicious client with limited knowledge about the FL system.
Moreover, Faker can degrade the performance of the global model by attacking
only once. We also preliminarily explore extending Faker to other attacks, such
as backdoor attacks and Sybil attacks. Lastly, we provide a model evaluation
strategy, called the similarity of partial parameters (SPP), to defend against
Faker. Given that numerous mechanisms in FL utilize similarity metrics to
assess local models, this work suggests that we should be vigilant regarding
the potential risks of using these metrics.
- Abstract(参考訳): フェデレーション学習(fl)における類似性による局所モデルの信頼性の測定は安全か?
本稿では,l_2ノルム,ユークリッド距離,コサイン類似度などの類似度指標をflの保護に応用する,未検討のセキュリティ脅威について述べる。
まず,良性モデルと有毒モデルを含む高次元局所モデルにおける類似度指標の欠陥を明らかにするとともに,パラメータ値が著しく異なる場合について検討した。
次に,この知見を生かして,有毒な局所モデルの類似性とパラメータ値の差を最大化することにより,攻撃を起動する新たな非標的モデル中毒攻撃であるフェイカーを考案する。
7つのデータセットと8つのディフェンスに基づく実験結果から、Fakerは1.1-9.0Xの最先端のベンチマーク攻撃で精度が低下し、1.2-8.0Xの節約が達成された。
さらに、Fakerは1回だけ攻撃することで、グローバルモデルのパフォーマンスを低下させることができる。
また、バックドア攻撃やsybil攻撃など、他の攻撃へのフェイカーの拡張についても事前に検討しています。
最後に,fakerに対する防御のために,部分パラメータ類似性(spp)と呼ばれるモデル評価戦略を提案する。
FLにおける多くのメカニズムが類似度指標を用いて局所モデルを評価することを考えると、これらの指標を使用する可能性について警戒すべきである。
関連論文リスト
- FreqFed: A Frequency Analysis-Based Approach for Mitigating Poisoning
Attacks in Federated Learning [98.43475653490219]
フェデレート・ラーニング(Federated Learning, FL)は、毒素による攻撃を受けやすい。
FreqFedは、モデルの更新を周波数領域に変換する新しいアグリゲーションメカニズムである。
FreqFedは, 凝集モデルの有用性に悪影響を及ぼすことなく, 毒性攻撃を効果的に軽減できることを実証した。
論文 参考訳(メタデータ) (2023-12-07T16:56:24Z) - Mitigating Adversarial Attacks in Federated Learning with Trusted
Execution Environments [1.8240624028534085]
画像ベースアプリケーションでは、敵対的な例は、局所モデルによって誤って分類される人間の目に対してわずかに摂動した画像で構成されている。
PeltaはTrusted Execution Environments(TEEs)を利用した新しい遮蔽機構で、攻撃者が敵のサンプルを作る能力を減らす。
Peltaは6つのホワイトボックスの対人攻撃を緩和する効果を示した。
論文 参考訳(メタデータ) (2023-09-13T14:19:29Z) - Avoid Adversarial Adaption in Federated Learning by Multi-Metric
Investigations [55.2480439325792]
Federated Learning(FL)は、分散機械学習モデルのトレーニング、データのプライバシの保護、通信コストの低減、多様化したデータソースによるモデルパフォーマンスの向上を支援する。
FLは、中毒攻撃、標的外のパフォーマンス劣化とターゲットのバックドア攻撃の両方でモデルの整合性を損なうような脆弱性に直面している。
我々は、複数の目的に同時に適応できる、強い適応的敵の概念を新たに定義する。
MESASは、実際のデータシナリオで有効であり、平均オーバーヘッドは24.37秒である。
論文 参考訳(メタデータ) (2023-06-06T11:44:42Z) - Attacking Perceptual Similarity Metrics [5.326626090397465]
本研究は,非受容性対向摂動に対する類似度指標の頑健さを系統的に検討する。
まず、我々の研究のすべての指標が、共通の敵対的攻撃によって生じる摂動に影響を受けやすいことを示します。
次に,空間変換に基づく対向的摂動を用いて,広く採用されているLPIPSメトリックを攻撃した。
論文 参考訳(メタデータ) (2023-05-15T17:55:04Z) - Security-Preserving Federated Learning via Byzantine-Sensitive Triplet
Distance [10.658882342481542]
フェデレートラーニング(FL)は一般的に、敵のエッジデバイスからのビザンチン攻撃に対して脆弱である。
そこで我々は, ダミーコントラストアグリゲーションという, 効果的なビザンチン・ロバストFLフレームワークを提案する。
最新技術であるビザンチン-レジリエントアグリゲーション法と比較して,性能が向上した。
論文 参考訳(メタデータ) (2022-10-29T07:20:02Z) - FLIP: A Provable Defense Framework for Backdoor Mitigation in Federated
Learning [66.56240101249803]
我々は,クライアントの強固化がグローバルモデル(および悪意のあるクライアント)に与える影響について検討する。
本稿では, 逆エンジニアリングによる防御手法を提案するとともに, 堅牢性を保証して, 改良を実現できることを示す。
競合する8つのSOTA防御法について, 単発および連続のFLバックドア攻撃に対して, 提案手法の実証的優位性を示した。
論文 参考訳(メタデータ) (2022-10-23T22:24:03Z) - A Unified Evaluation of Textual Backdoor Learning: Frameworks and
Benchmarks [72.7373468905418]
我々は,テキストバックドア学習の実装と評価を促進するオープンソースツールキットOpenBackdoorを開発した。
また,単純なクラスタリングに基づく防御ベースラインであるCUBEを提案する。
論文 参考訳(メタデータ) (2022-06-17T02:29:23Z) - Backdoor Defense in Federated Learning Using Differential Testing and
Outlier Detection [24.562359531692504]
バックドア攻撃からFLシステムを保護するための自動防御フレームワークであるDifFenseを提案する。
提案手法は,グローバルモデルの平均バックドア精度を4%以下に低減し,偽陰性率ゼロを達成する。
論文 参考訳(メタデータ) (2022-02-21T17:13:03Z) - Learning from Similarity-Confidence Data [94.94650350944377]
類似度信頼性(Sconf)データから学習する新しい弱監督学習問題について検討する。
本研究では,Sconfデータのみから計算可能な分類リスクの非バイアス推定器を提案し,推定誤差境界が最適収束率を達成することを示す。
論文 参考訳(メタデータ) (2021-02-13T07:31:16Z) - Trust but Verify: Assigning Prediction Credibility by Counterfactual
Constrained Learning [123.3472310767721]
予測信頼性尺度は統計学と機械学習において基本的なものである。
これらの措置は、実際に使用される多種多様なモデルを考慮に入れるべきである。
この研究で開発されたフレームワークは、リスクフィットのトレードオフとして信頼性を表現している。
論文 参考訳(メタデータ) (2020-11-24T19:52:38Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。