DBA: Distributed Backdoor Attacks against Federated Learning论文笔记
作者:Chulin Xie Keli Huang Pin-Yu Chen Bo Li
来源:ICLR 2020
发表时间:May 26,2020
背景:
联邦学习能够聚合各方提供的信息,以得到更好的模型,但其分布式学习方法可能会带来新的漏洞。
目前存在的攻击是集中式攻击(Current centralized attack),它为所有攻击者都嵌入了相同的触发器:使用全局触发器来攻击共享模型,没有任何协调和分布式处理。
提出一种分布式后门攻击(Distributed Backdoor Attacks)—— 一种充分利用联邦学习的分布式特性而开发的攻击。DBA在不同数据集上对联邦学习攻击的持久性、隐蔽性和攻击成功率都高于集中式后门攻击。
方案:
目前的集中式攻击 Current centralized attack
为所有攻击者都嵌入了相同的触发器:使用全局触发器来攻击共享模型,攻击者试图解决下式中的优化问题。
分布式后门攻击 DBA:Distributed Backdoor Attacks
DBA充分利用了FL中的分布式学习和本地数据不透明性。
为M个DBA攻击者设立了M个后门触发器,每个DBA攻击者mim_imi独立地对本地模型进行后门攻击。所有的攻击者都只使用全局触发器的部分来毒害他们的本地模型,而最终实现的攻击方式仍然与集中式攻击相同——使用全局触发器来攻击共享模型。
该机制将一个集中式攻击公式分解为M个分布式子攻击问题,旨在解决
∅i∗={φ,O(i)}\emptyset_i^*=\{\varphi, O(i)\}∅i∗={φ,O(i)}是攻击者mim_imi在参数φφφ的局部触发模式的几何分解策略,O(i)O(i)O(i)包含了攻击者mim_imi基于全局触发器的触发分解规则。
实验评估:
数据集:Lending Club Loan Data(LOAN),MNIST,CIFAR-10,Tiny-imagenet
用户量:一共100个用户,每轮选中10个用户进行更新
1.DBA V.S. Centralized Backdoor Attack
- (1)Attack A-M and Attack A-S
(2)在当前的联邦后门防御措施下的表现
针对健壮聚合防御的分布式攻击 RFA
对减轻Sybils防御的分布式攻击 FoolsGold
(3)通过特征可视化和特征重要性进行解释
2.Analysis of Trigger Factors
(1)Scale
(2)Trigger Location
(3)Trigger Gap
(4)Trigger Size
(5)Poison Interval
(6)Poison Ration
1.DBA V.S. Centralized Backdoor Attack
(1)Attack A-M and Attack A-S
攻击A-M研究后门成功注入的容易程度,攻击A-S研究后门效能减少的速度。
在A-M攻击中:DBA攻击成功率在任何情况下都高于集中式攻击,全局触发器的攻击成功率高于本地触发器,全局触发器在攻击性能上比本地触发器收敛更快。
在A-S攻击中,DBA和集中式攻击在对所有数据集进行一次完整的后门操作后,都达到了较高的攻击成功率。在之后的回合中,集中攻击的攻击成功率比DBA下降的更快,这说明了DBA产生的攻击更持久。
- (2)在当前的联邦后门防御措施下的表现:
评估DBA和集中式后门攻击在RFA和FoolsGold防御下A-M攻击下的攻击成果。
DBA在面对这些防御措施的表现都优于集中式攻击。
- (3)通过特征可视化和特征重要性解释
Grad-cam:可以用于可视化,通过视觉解释模型做出决策时重点关注的区域。对于这些部分用于确认类别的特征部分做高热显示。
局部触发的单独图像是一个弱攻击,左上角很难被注意到,而组成到一起作为一个全局触发器时,注意力被拖到了触发器位置,才能达到攻击效果。
2.Analysis of Trigger Factors
评估指标:
DBA-ASR:攻击成功率
Main-Acc:表示嵌入最后一个分布式局部触发器时全局模型的准确性
DBA-ASR-t:DBA完全执行t轮后的攻击成功率,体现了持久性
Main-Acc-t:t轮后的Main-Acc
评估因素:
(1)缩放因子 Scale
(2)触发器位置 Trigger Location
(3)触发器间隙 Trigger Gap
(4)触发器大小 Trigger Size
(5)毒害间隔 Poison Interva
(6)毒害比例 Poison Ration
- (1)缩放因子 Scale
缩放因子太小,攻击很难有效果。
增大缩放因子会同时增大DBA-ASR和DBA-ASR-t,并且会缩小二者的差距。但较大的缩放因子,会使得后门任务存在精度更高,但主任务的精度也在下降。
- (2)Trigger Location
将触发器图案从左上角移到右下角。
在一些数据集中DBA-ASR和DBA-ASR-40呈U型曲线。
因为图像的中间部分通常包含主要对象,这些像素是主要精度的基础。,DBA在这些领域很难成功,而且会很快被遗忘。
- (3)Trigger Gap
在MNIST中,同样呈现U型曲线,原因同上。
而在CIFAR和Tiny-imagenet中:零触发间隙,DBA仍然成功,但后门将很快遗忘,因此建议DBA使用非零触发间隙。
- (4)Trigger Size
较大的触发器尺寸会使DBA-ASR和DBA-ASR-t也变大,但是过大对攻击效果提升不大,且会增加被发现的几率;尺寸过小,攻击的成功率会很快随着训练过程的增加而下降。
- (5)Poison Interval 毒害间隔
太大:很容易造成攻击的无效,早期嵌入的触发器可能会被完全忘记。
太小(特指等于0时):在同一轮中提交数据集伸缩更新时,攻击性能很差,因为伸缩效应太强,极大地改变了全局模型中地参数,导致主要精度很差。
- (6)Poison Ration 毒害比例
更高的中毒比率可以带来更好的后门性能,但会导致全局模型在主任务中失败。因此,DBA最好在本地训练中使用合理的毒化,这样可以在实现毒化攻击的同时保持干净数据的准确性。
函数R将干净数据转化为后门数据,这些数据使用一组参数具有攻击者选择的触发器模式。
参数包含着例如触发器位置、触发器尺寸、触发器间隙Trigger Gap等参数。
DBA: Distributed Backdoor Attacks against Federated Learning论文笔记相关推荐
- 《DBA: DISTRIBUTED BACKDOOR ATTACKS AGAINST FEDERATED LEARNING》阅读笔记
DBA: DISTRIBUTED BACKDOOR ATTACKS AGAINST FEDERATED LEARNING ** 本文发在ICLR 2020,针对联邦学习进行的后门攻击.其提出的方案针对 ...
- (翻译)DBA: DISTRIBUTED BACKDOOR ATTACKS AGAINST FEDERATED LEARNING
摘要 后门攻击旨在通过注入对抗性触发器来操纵训练数据的子集,从而使在受篡改数据集上训练的机器学习模型将在嵌入了相同触发器的测试集上进行任意(目标)错误预测.尽管联邦学习(FL)能够汇总由不同方面提供的 ...
- 【个性化联邦学习】Towards Personalized Federated Learning 论文笔记整理
Towards Personalized Federated Learning 一.背景 二.解决策略 2.1 策略一.全局模型个性化 2.2 策略二.学习个性化模型 三.具体方案 3.1 全局模型个 ...
- Exploiting Shared Representations for Personalized Federated Learning 论文笔记+代码解读
论文地址点这里 一. 介绍 联邦学习中由于各个客户端上数据异构问题,导致全局训练模型无法适应每一个客户端的要求.作者通过利用客户端之间的共同代表来解决这个问题.具体来说,将数据异构的联邦学习问题视为并 ...
- 【COPOD】Suppressing Poisoning Attacks on Federated Learning for Medical Imaging
Suppressing Poisoning Attacks on Federated Learning for Medical Imaging 抑制针对医学影像联邦学习的毒化攻击 论文 Abstrac ...
- READ-2204 FL-WBC Enhancing Robustness against Model Poisoning Attacks in Federated Learning
READ-2204 FL-WBC Enhancing Robustness against Model Poisoning Attacks in Federated Learning from a C ...
- Deep Learning论文笔记之(八)Deep Learning最新综述
Deep Learning论文笔记之(八)Deep Learning最新综述 zouxy09@qq.com http://blog.csdn.net/zouxy09 自己平时看了一些论文,但老感觉看完 ...
- Deep Learning论文笔记之(七)深度网络高层特征可视化
Deep Learning论文笔记之(七)深度网络高层特征可视化 zouxy09@qq.com http://blog.csdn.net/zouxy09 自己平时看了一些论文,但老感 ...
- Deep Learning论文笔记之(六)Multi-Stage多级架构分析
Deep Learning论文笔记之(六)Multi-Stage多级架构分析 zouxy09@qq.com http://blog.csdn.net/zouxy09 自己平时看了一些 ...
最新文章
- 2022-2028年中国大气污染防治产业投资分析及前景预测报告
- CentOS系统提示用户名不在sudoers文件中
- 什么是7层负载均衡?
- Example3_3(if-else语句)
- leetcode 797. All Paths From Source to Target | 797. 所有可能的路径(回溯法)
- leetcode 220. Contains Duplicate III | 220. 存在重复元素 III (Treeset解法+分桶解法)
- if else 工厂模式_没有IF-ELSE的工厂
- hypot函数_hypot()函数与C ++中的示例
- 避免将属性的可见属性层次结构用作用户定义的层次结构中的级别
- html页面之间传表格,如何在html 页面插入一个表格,参数的传递,
- 京东与滁州达成战略合作,共建全国首座智慧型家电产地仓
- Bailian2929 扩号匹配【堆栈】
- 一些and知识 和ui
- 着力财富管理市场产品全覆盖 基金公司争设销售子公司
- 86五笔输入法教程详解
- php工商亮照添加代码,市场监管总局电子营业执照亮照系统上线
- Oracle 分组求和(特殊处理)
- 面对裁员潮,程序员如何安身立命
- 母亲节活动策划方案PPT模板
- 行人重识别综述之Person Re-identification:Past, Present and Future
热门文章
- Linux配置163源
- Linux终端运行fasterrcnn,运行tensorflow版的fasterRCNN遇到的问题总结
- 正畸学常用术语(转载+整理)
- markdown表情包
- html调用百度翻译api,vue cli3 调用百度翻译API翻译页面的实现示例
- 按照省市区分割地址 java_省市区地区分割,注意地址里面包括两个区的(比如有:市区和小区)...
- 如何了解(海外抖音TiKToK)与国内抖音的区别以及介绍
- m_map地图工具箱:m_demo.m
- 连续污染源的四维模拟程序
- 解决微信服务号Scope 参数错误或没有 Scope 权限