【三期操志强】CCF-A(USENIX SS'20)Local model poisoning attacks to Byzantine-robust federated learning.
联邦学习主要分为三个步骤,服务器将当前全局模型下发给客户端;客户端利用私人数据和全局模型来更新本地模型,并上传给服务器;服务器再根据一定的聚合算法,更新全局模型。为了保持一定的鲁棒性,针对特定客户端的拜占庭故障,研究人员提出了多个聚合算法(如Krum, Bulyan,修正均值和中位数)。M. Fang, X. Cao, J. Jia, & N. Gong, N. “Local model poisoning attacks to Byzantine-robust federated learning,” in 29th {USENIX} Security Symposium ({USENIX} Security 20), pp. 1605-1622, 2020.——CCF-A(USENIX Security Symposium)
本文针对具有拜占庭鲁棒性的联邦学习,首次提出了本地模型投毒攻击。具体来说,就是攻击者入侵一些客户端,并在这些客户端上更改本地模型参数,从而使得全局模型的误测率升高。本文还将该攻击方法应用到四种具有拜占庭鲁棒性的联邦学习中(分别采用了Krum, Bulyan,修正均值和中位数聚合算法),实验证明本攻击方法能大幅提升四种联邦学习的全局模型的误测率。
本文还针对本攻击方法进行了防御方面的讨论,并对两种经典数据投毒防御方法进行了总结。实验证明,在个别情况下,只有其中一种防御方法能奏效。
2020年11月27日
