論文の概要: Distributed Backdoor Attacks on Federated Graph Learning and Certified Defenses
- arxiv url: http://arxiv.org/abs/2407.08935v1
- Date: Fri, 12 Jul 2024 02:43:44 GMT
- ステータス: 処理完了
- システム内更新日: 2024-07-16 01:06:33.989120
- Title: Distributed Backdoor Attacks on Federated Graph Learning and Certified Defenses
- Title(参考訳): フェデレーショングラフ学習と認証ディフェンスに対する分散型バックドアアタック
- Authors: Yuxin Yang, Qiang Li, Jinyuan Jia, Yuan Hong, Binghui Wang,
- Abstract要約: 我々は,FedGLに対する効果的な,ステルス的で永続的なバックドア攻撃を提案する。
我々は,任意の位置において任意の形状のトリガに対して,バックドアのFedGLモデルに対する認証された防御を開発する。
我々の攻撃結果は、ほぼ全てのデータセットで90%以上のバックドア精度が得られることを示している。
- 参考スコア(独自算出の注目度): 50.53476890313741
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Federated graph learning (FedGL) is an emerging federated learning (FL) framework that extends FL to learn graph data from diverse sources. FL for non-graph data has shown to be vulnerable to backdoor attacks, which inject a shared backdoor trigger into the training data such that the trained backdoored FL model can predict the testing data containing the trigger as the attacker desires. However, FedGL against backdoor attacks is largely unexplored, and no effective defense exists. In this paper, we aim to address such significant deficiency. First, we propose an effective, stealthy, and persistent backdoor attack on FedGL. Our attack uses a subgraph as the trigger and designs an adaptive trigger generator that can derive the effective trigger location and shape for each graph. Our attack shows that empirical defenses are hard to detect/remove our generated triggers. To mitigate it, we further develop a certified defense for any backdoored FedGL model against the trigger with any shape at any location. Our defense involves carefully dividing a testing graph into multiple subgraphs and designing a majority vote-based ensemble classifier on these subgraphs. We then derive the deterministic certified robustness based on the ensemble classifier and prove its tightness. We extensively evaluate our attack and defense on six graph datasets. Our attack results show our attack can obtain > 90% backdoor accuracy in almost all datasets. Our defense results show, in certain cases, the certified accuracy for clean testing graphs against an arbitrary trigger with size 20 can be close to the normal accuracy under no attack, while there is a moderate gap in other cases. Moreover, the certified backdoor accuracy is always 0 for backdoored testing graphs generated by our attack, implying our defense can fully mitigate the attack. Source code is available at: https://github.com/Yuxin104/Opt-GDBA.
- Abstract(参考訳): フェデレーショングラフ学習(Federated Graph Learning, FedGL)は、FLを拡張してさまざまなソースからグラフデータを学習する、新たなフェデレーション学習(FedGL)フレームワークである。
非グラフデータのFLは、トレーニングデータに共有バックドアトリガーを注入し、トレーニングされたバックドアFLモデルが、攻撃者が望むようにトリガーを含むテストデータを予測できるように、バックドアアタックに対して脆弱であることが示されている。
しかし、FedGLによるバックドア攻撃に対する攻撃はほとんど探索されておらず、効果的な防御は存在しない。
本稿では,このような重大な欠陥に対処することを目的とする。
まず,FedGLに対する効果的な,ステルス的で永続的なバックドア攻撃を提案する。
我々の攻撃では、サブグラフをトリガーとし、各グラフの効果的なトリガー位置と形状を導出できる適応トリガージェネレータを設計する。
私たちの攻撃は、経験的防御が生成したトリガーを検出・削除することが難しいことを示している。
これを軽減するため、任意の位置で任意の形状のトリガーに対して、バックドアのFedGLモデルに対する認証された防御を更に開発する。
我々の弁護は、テストグラフを複数のサブグラフに慎重に分割し、これらのサブグラフに多数決ベースのアンサンブル分類器を設計することである。
次に、アンサンブル分類器に基づいて決定論的証明された堅牢性を導出し、その厳密性を証明する。
6つのグラフデータセットに対する攻撃と防御を広範囲に評価した。
我々の攻撃結果は、ほぼ全てのデータセットで90%以上のバックドア精度が得られることを示している。
以上の結果から,20の任意のトリガに対するクリーンなテストグラフの精度は,攻撃を受けない場合の正常な精度に近いが,他の場合では適度なギャップがあることがわかった。
さらに、我々の攻撃によって生成されたバックドアテストグラフに対して、認証されたバックドア精度は常に0であり、防衛が攻撃を完全に軽減できることを意味している。
ソースコードはhttps://github.com/Yuxin104/Opt-GDBA.comで入手できる。
関連論文リスト
- Does Few-shot Learning Suffer from Backdoor Attacks? [63.9864247424967]
数発の学習がバックドアアタックに対して脆弱であることは明らかです。
本手法は,FSLタスクにおける攻撃成功率(ASR)を,異なる数発の学習パラダイムで示す。
この研究は、数発の学習がまだバックドア攻撃に悩まされており、そのセキュリティに注意を払う必要があることを明らかにしている。
論文 参考訳(メタデータ) (2023-12-31T06:43:36Z) - Rethinking Backdoor Attacks [122.1008188058615]
バックドア攻撃では、悪意ある構築されたバックドアの例をトレーニングセットに挿入し、結果のモデルを操作に脆弱にする。
このような攻撃に対する防御は、典型的には、これらの挿入された例をトレーニングセットの外れ値として見ることと、堅牢な統計からのテクニックを使用してそれらを検出し、削除することである。
トレーニングデータ分布に関する構造情報がなければ,バックドア攻撃は自然に発生するデータの特徴と区別できないことを示す。
論文 参考訳(メタデータ) (2023-07-19T17:44:54Z) - Backdoor Attack with Sparse and Invisible Trigger [57.41876708712008]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアアタックは、訓練段階の脅威を脅かしている。
軽度で目に見えないバックドアアタック(SIBA)を提案する。
論文 参考訳(メタデータ) (2023-05-11T10:05:57Z) - Unnoticeable Backdoor Attacks on Graph Neural Networks [29.941951380348435]
特に、バックドアアタックは、トレーニンググラフ内の一連のノードにトリガーとターゲットクラスラベルをアタッチすることで、グラフを毒する。
本稿では,攻撃予算が制限されたグラフバックドア攻撃の新たな問題について検討する。
論文 参考訳(メタデータ) (2023-02-11T01:50:58Z) - Defending Against Backdoor Attack on Graph Nerual Network by
Explainability [7.147386524788604]
GNNにおける最初のバックドア検出・防御手法を提案する。
グラフデータでは、現在のバックドアアタックは、トリガーを注入するためにグラフ構造を操作することに焦点を当てている。
その結果,いくつかの説明的評価指標では,良性サンプルと悪質サンプルとの間に明らかな違いがあることが判明した。
論文 参考訳(メタデータ) (2022-09-07T03:19:29Z) - Narcissus: A Practical Clean-Label Backdoor Attack with Limited
Information [22.98039177091884]
クリーンラベル」バックドア攻撃には、トレーニングセット全体の知識が必要である。
本稿では,対象クラスの代表例の知識のみに基づいて,クリーンラベルバックドア攻撃をマウントするアルゴリズムを提案する。
私たちの攻撃は、物理的な世界にトリガーが存在する場合でも、データセットやモデル間でうまく機能します。
論文 参考訳(メタデータ) (2022-04-11T16:58:04Z) - Backdoor Attack in the Physical World [49.64799477792172]
ディープニューラルネットワーク(DNN)に隠れたバックドアを注入するバックドア攻撃
既存のバックドア攻撃のほとんどは、トレーニングおよびテスト画像にまたがる静的トリガ、すなわち$$トリガの設定を採用した。
テスト画像のトリガーがトレーニングで使用されるものと一致していない場合、この攻撃パラダイムは脆弱であることを示す。
論文 参考訳(メタデータ) (2021-04-06T08:37:33Z) - Defending against Backdoors in Federated Learning with Robust Learning
Rate [25.74681620689152]
フェデレートラーニング(FL)は、エージェントの集合が、潜在的に敏感なデータを共有せずに、協調的にモデルをトレーニングすることを可能にする。
バックドア攻撃において、敵はトレーニング中にモデルにバックドア機能を埋め込もうとする。
FLプロトコルの変更を最小限に抑える軽量ディフェンスを提案する。
論文 参考訳(メタデータ) (2020-07-07T23:38:35Z) - Backdoor Attacks to Graph Neural Networks [73.56867080030091]
グラフニューラルネットワーク(GNN)に対する最初のバックドア攻撃を提案する。
我々のバックドア攻撃では、GNNは、事前に定義されたサブグラフがテストグラフに注入されると、テストグラフに対するアタッカー・チョーセンターゲットラベルを予測する。
実験の結果,我々のバックドア攻撃はクリーンなテストグラフに対するGNNの予測精度に小さな影響を与えていることがわかった。
論文 参考訳(メタデータ) (2020-06-19T14:51:01Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。