Poisoning in Federated Learning

February 28, 2022
-
Dr. Euijin Alley Choo
-
Folge uns auf Google News

Föderiertes Lernen ist insofern ein zweischneidiges Schwert, als es darauf ausgelegt ist, den Datenschutz zu gewährleisten, doch leider öffnet es Gegnern die Tür, das System leicht auszunutzen. Einer der beliebtesten Angriffsvektoren ist ein sogenanntes Poisoning, das Vergiften der dezentralen Rohdaten.

Was ist eine Vergiftungsattacke?

Ein Poisoning-Angriff zielt darauf ab, Modelle für maschinelles Lernen auf einfache Weise zu schwächen. Diese lassen sich in zwei Kategorien einteilen: Daten- und Modellvergiftungsangriffe.

Datenvergiftungsangriffe zielen darauf ab, die Trainingsdaten zu kontaminieren, um indirekt die Leistung von Modellen für maschinelles Lernen zu beeinträchtigen [1]. Datenvergiftungsangriffe lassen sich grob in zwei Kategorien einteilen: (1) Label-Flipping-Angriffe, bei denen ein Angreifer die Bezeichnungen von Trainingsdaten „umdreht“ [2] (2) Backdoor-Angriffe, bei denen ein Angreifer neue oder manipulierte Trainingsdaten injiziert, was zu einer Fehlklassifizierung während der Inferenzzeit führt [3]. Ein Angreifer kann globale oder gezielte Datenvergiftungsangriffe ausführen. Gezielte Angriffe erhöhen die Gefahr, erkannt zu werden, da sie nur eine bestimmte Klasse manipulieren und Daten für andere Klassen intakt machen.

Andererseits zielt ein Modellvergiftungsangriff darauf ab, lokale Modelle direkt zu manipulieren, um die Genauigkeit globaler Modelle zu gefährden. Model-Poisoning-Angriffe können als ungezielte oder gezielte Angriffe ausgeführt werden, ähnlich wie Datenvergiftungsangriffe. Ein ungezielter Angriff zielt darauf ab, die Gesamtleistung zu verschlechtern und einen Denial-of-Service zu erreichen. Ein gezielter Angriff ist eine raffiniertere Methode, um Modellaktualisierungen für Unteraufgaben zu beschädigen und gleichzeitig eine hohe Genauigkeit bei der Erreichung globaler Ziele aufrechtzuerhalten [1].

Ein föderiertes Lernsystem ist von Natur aus anfällig für Giftangriffe, da es nicht auf lokale Daten und Modelle einzelner Teilnehmer zugreifen kann. Gezielte Angriffe verschärfen das Problem, da es für einen zentralen Server extrem schwierig wäre, Angriffe in den Modellen zu identifizieren, wenn man die globalen Ziele mit hoher Genauigkeit berücksichtigt.



Federated learning and poisoning attacks, cybersecurity


Wie können wir uns verteidigen?

Ansätze zur Abwehr von Vergiftungsangriffen lassen sich in zwei Kategorien einteilen: (1) Robuste Aggregation und (2) Anomalieerkennung. Eine typische Aggregationsmethode im föderierten Lernsystem ist der Durchschnitt lokaler Modelle, um ein globales Modell zu erhalten. Beispielsweise berechnet jeder Client in jeder Runde von Trainingsphasen Gradienten, die Gradienten werden an einen zentralen Server gesendet und der Server berechnet die durchschnittlichen Gradienten in FedSGD [4]. Zur besseren Effizienz berechnet jeder Client den Gradienten und aktualisiert das Modell für mehrere Chargen. Die Modellparameter werden an den Server gesendet, und der Server berechnet den Durchschnitt der Modellparameter in FedAVG [5]. Offenbar sind diese auf Durchschnittswerten beruhenden Ansätze anfällig für Poisoning-Angriffe. Der Forschungsschwerpunkt lag daher auf der Frage, wie die Modellparameter besser aggregiert und gleichzeitig minimiert werden können, wie z. B. Medianaggregation [6], Aggregation des getrimmten Mittelwerts [6], Krum-Aggregation [7] oder Algorithmen zur adaptiven Mittelwertbildung [1].

Eine proaktivere Methode zur Abwehr von Poisoning-Angriffen ist das Filtern bösartiger Updates mithilfe der Anomalieerkennung. Modellaktualisierungen bösartiger Clients sind oft von denen seriöser Kunden zu unterscheiden. Eine Abwehrmethode sind Cluster-basierte Ansätze, die Modellaktualisierungen auf dem zentralen Server und Cluster-Modell-Updates überprüfen und verdächtige Cluster aus der Aggregation herausfiltern [8]. Verhaltensbasierte Abwehrmethoden messen Unterschiede bei Modellaktualisierungen zwischen den Clients und filtern bösartige Modellaktualisierungen aus der Aggregation heraus [8].


Fazit

Vor Kurzem ist ein föderiertes Lernsystem entstanden, weshalb sich die Erforschung von Angriffen gegen dieses System noch in einem frühen Stadium befindet. Um die vielversprechenden Potenziale des föderierten Lernsystems voll auszuschöpfen, sind umfangreiche Forschungsanstrengungen erforderlich, um die Robustheit gegen Giftangriffe zu gewährleisten.

Referenzen

  • [1] Jere, Malhar S., Tyler Farnan und Farinaz Koushanfar. „Eine Taxonomie von Angriffen auf föderiertes Lernen.“ IEEE Security & Privacy 19, Nr. 2 (2020): 20-28.
  • [2] Tolpegin, V., Truex, S., Gursoy, M.E., & Liu, L. (2020, September). Datenvergiftungsangriffe auf föderierte Lernsysteme. Im Europäischen Symposium zur Erforschung der Computersicherheit (S. 480-501). Springer, Cham.
  • [3] Severi G, Meyer J, Coull S, Oprea A. {Explanation-Guided} Backdoor-Poisoning-Angriffe gegen Malware-Klassifikatoren. Auf dem 30. USENIX-Sicherheitssymposium (USENIX Security 21) 2021 (S. 1487-1504)
  • [4] Mhaisen, Naram, Alaa Awad Abdellatif, Amr Mohamed, Aiman Erbad und Mohsen Guizani. „Optimale Zuweisung von Benutzerkanten beim hierarchischen Verbundlernen auf der Grundlage statistischer Eigenschaften und Einschränkungen der Netzwerktopologie.“ IEEE-Transaktionen zu Netzwerkwissenschaft und Netzwerktechnik 9, Nr. 1 (2021): 55-66
  • [5] Zhou, Yuhao, Qing Ye und Jiancheng Lv. „Kommunikationseffizientes Verbundlernen mit kompensiertem Überlappungsaufwand.“ IEEE-Transaktionen auf parallelen und verteilten Systemen 33, Nr. 1 (2021): 192-205
  • [6] Yin, D., Chen, Y., Kannan, R., & Bartlett, P. (2018, Juli). Byzantinisches robustes verteiltes Lernen: Auf dem Weg zu optimalen statistischen Raten. In der Internationalen Konferenz über maschinelles Lernen (S. 5650-5659). PMLR.
  • [7] Blanchard, Peva, El Mahdi El Mhamdi, Rachid Guerraoui und Julien Stainer. „Maschinelles Lernen mit Gegnern: Byzantinischer toleranter Gradientenabstieg.“ Fortschritte in neuronalen Informationsverarbeitungssystemen 30 (2017)
  • [8] Awan, Sana, Bo Luo und Fengjun Li. „Contra: Verteidigung gegen vergiftete Angriffe beim föderierten Lernen.“ Im Europäischen Symposium zur Erforschung der Computersicherheit, S. 455-475. Springer, Cham, 2021
  • [9] Fang, Minghong, Xiaoyu Cao, Jinyuan Jia und Neil Gong. „Lokale Modelle vergiften Angriffe auf {byzantinisch-robustes} föderiertes Lernen.“ Im 29. USENIX-Sicherheitssymposium (USENIX Security 20), S. 1605-1622. 2020

Über Scalytics

Da die Anforderungen an die moderne KI-Entwicklung steigen, haben traditionelle ETL-Plattformen Schwierigkeiten, Schritt zu halten, da sie durch ihre eigenen Einschränkungen in Bezug auf Datenbewegungen und Verarbeitungsgeschwindigkeit blockiert werden. Scalytics Connect ist die Lösung der nächsten Generation, die speziell für die Optimierung von KI-Trainings durch innovative Datenintegrationsfunktionen entwickelt wurde.

Wir ermöglichen es Ihnen, datengestützte Entscheidungen in Minuten statt Tagen zu treffen
Scalytics ist basierend auf Apache Wayang, und wir sind stolz darauf, das Projekt zu unterstützen. Du kannst dir ihr öffentliches GitHub-Repo hier ansehen. Wenn Dir unsere Software gefällt - ein Star ⭐ würde viel bedeuten!

Wenn Sie professionelle Unterstützung von unserem Team von branchenführenden Experten benötigen, können Sie sich jederzeit an uns über Slack oder E-Mail wenden.
share
post
tweet
pin
send
back to all articlesFollow us on Google News
Schneller zum KI-Erfolg
Kostenlose White Paper. Erfahren Sie, wie Scalytics KI und ML optimiert und Unternehmen in die Lage versetzt, schnellere KI-Erfolge zu erzielen.
Download
Kategorien
Branchen
Technologie
Open Source
Unternehmen
Plattform

Starten Sie noch heute mit Scalytics Connect

Thank you! Our team will get in touch soon.
Oops! Something went wrong while submitting the form.
* Mit dem Absenden dieses Formulars erklären Sie sich mit Scalytics oder seinen autorisierte Partner im Namen von Scalytics, um Sie telefonisch oder per E-Mail zu kontaktieren, um weitere Informationen über bevorstehende Veranstaltungen, Produktneuheiten und andere Marketinginformationen zu erhalten. Sie können den Erhalt von Marketingmitteilungen jederzeit abbestellen. Die Verwendung von Daten durch Scalytics für seine Kommunikation unterliegt unseren Erklärung zum Datenschutz.
Scalytics
Scalytics Connect: Die moderne KI-Datenplattform. Greifen Sie auf verteilte Daten zu, beschleunigen Sie Erkenntnisse und innovieren Sie mit datenschutzfreundlichen Technologien.

© 2024 Scalytics®—we connect the world’s data

3401 N. MIAMI AVE. STE 230
33127 Miami, Florida
United States
Produkt
Scalytics ConnectHinweise zur VeröffentlichungPreiseOpen SourceWarum Scalytics
Lösungen
Cloud- und Hybrid-DatenmanagementFinTech und BankwesenGesundheitswesenVerteidigung und öffentliche DiensteEinzelhandel und E-CommerceVersorgungsunternehmen und Energie
Fangen Sie an
Online-DemosKostenlose Testversion startenApache Wayang
Ressourcen
Lösungen für die IndustrieForschungsarbeitenWhitepaperBlogJobsSicherheit und Einhaltung gesetzlicher VorschriftenSuche
Firma
ManagementKontaktPressemitteilungenNutzungsbedingungenEULACrunchbase
Verkaufe oder teile meine persönlichen Daten nicht
Consent Preferences