| 论文英文名字 | Assisting Backdoor Federated Learning with Whole Population Knowledge Alignment in Mobile Edge Computing |
|---|---|
| 论文中文名字 | 在移动边缘计算中用全人口知识调整协助后门联邦学习 |
| 作者 | Tian Liu, Xueyang Hu, Tao Shu |
| 来源 | 19th SECON 2022: Stockholm, Sweden [CCF 计算机网络 B 类会议] |
| 年份 | 2022 年 9 月 |
| 作者动机 | 早期训练阶段的单发后门攻击较弱 |
| 阅读动机 | |
| 创新点 | 利用信息泄漏来加强早期注入的单发后门攻击 |
内容总结
主要贡献
- 证明了 FL 模型和 CL 模型之间的聚合内权重差异的上限,并表明权重差异很小。
- 利用上述近似和交叉熵的线性,提出了一种新颖的基于优化的整体种群分布推理攻击。
- 我们为早期注入的单发后门攻击提出了一个初步阶段,该阶段通过减少正常客户端本地更新的稀释效应来提高攻击效果。
- 在各种数据异构设置中进行了广泛的实验,以评估所提出的整体分布推理攻击的准确性、FL 全局模型收敛性的改进以及后门攻击的有效性。
威胁模型
- 假设只有一个客户端具有发起后门攻击的能力,而其余客户端可以作为帮凶与 FL 模型进行多次交互。
- 假设执行后门攻击的客户端具有翻转标签并设置自己的学习率和本地步骤的能力。
- 其他人具有调整标签本地分布的能力,攻击者可以使用数据增强和采样技术来更改每个标签的样本数量。
权重差异(表征模型的性能)
- (1)局部模型在
$D_k$上的梯度和 CL 模型在$D$上的梯度之间的距离决定;(2)内部训练步数。 - (1)
$D_k$和$D$之间的分布距离;(2)在$D_k$上计算的梯度与在$D$上计算的梯度之间的梯度距离。 - FL 设置中的客户端可以从模仿整个群体的分布和梯度中受益,以实现更好的收敛行为(更快的收敛或更高的模型精度)。
我们的方法
预备阶段
- 总体分布推理
估计 CL 模型更新
模型更新的分解
梯度估计
基于优化的全局分布估计
- 辅助数据集构建
根据推理的总体分布,在样本不足的类中增加数据,在样本过多的类中缩减数据。
- 训练并提交模型更新
攻击阶段
- 制作中毒数据集
- 训练模型
- 缩放模型更新
- 上传模型
实验
- 数据集:MNIST
- 分布:non-iid
- 模型:两个卷积层和两个全连接层
- 评估指标:总体分布推理攻击的准确性、通过总体分布获得的主要任务准确率增益、主要任务准确率、后门攻击成功率和寿命
实验结果
总结
- 本文通过总体分布估计加速联邦学习的收敛,从而使早期后门攻击更加有效。