Jan 01, 1970
Un enfoque de detección de anomalías sin conocimiento para un aprendizaje federado sólido by@quantification
426
Un enfoque de detección de anomalías sin conocimiento para un aprendizaje federado sólido
Este artículo presenta un enfoque de detección de anomalías de vanguardia para sistemas de aprendizaje federado, que aborda los desafíos del mundo real. La detección proactiva de ataques, la eliminación de envíos de clientes maliciosos sin dañar los benignos y la garantía de una verificación sólida con Zero-Knowledge Proof hacen que este método sea innovador para el aprendizaje automático que preserva la privacidad.
Este documento está disponible en arxiv bajo licencia CC BY-NC-SA 4.0 DEED.
Autores:
(1) Shanshan Han y Qifan Zhang, UCI;
(2) Wenxuan Wu, Universidad Texas A&M;
(3) Baturalp Buyukates, Yuhang Yao y Weizhao Jin, USC;
(4) Salman Avestimehr, USC y FedML.
Tabla de enlaces
La detección de anomalías en dos etapas propuesta
Detección de anomalías verificables mediante ZKP
ABSTRACTO
Los sistemas de aprendizaje federado (FL) son vulnerables a clientes maliciosos que envían modelos locales envenenados para lograr sus objetivos adversarios, como impedir la convergencia del modelo global o inducir al modelo global a clasificar erróneamente algunos datos. Muchos mecanismos de defensa existentes no son prácticos en los sistemas FL del mundo real, ya que requieren un conocimiento previo del número de clientes maliciosos o dependen de volver a ponderar o modificar los envíos. Esto se debe a que los adversarios normalmente no anuncian sus intenciones antes de atacar, y la reponderación podría cambiar los resultados de agregación incluso en ausencia de ataques. Para abordar estos desafíos en sistemas FL reales, este documento presenta un enfoque de detección de anomalías de vanguardia con las siguientes características: i) Detectar la ocurrencia de ataques y realizar operaciones de defensa solo cuando ocurren ataques; ii) Al ocurrir un ataque, detectar aún más los modelos de clientes maliciosos y eliminarlos sin dañar los benignos; iii) Garantizar la ejecución honesta de los mecanismos de defensa en el servidor aprovechando un mecanismo de prueba de conocimiento cero. Validamos el rendimiento superior del enfoque propuesto con experimentos extensos.
1. INTRODUCCIÓN
Federated Learning (FL) (McMahan et al., 2017a) permite a los clientes entrenar modelos de aprendizaje automático de forma colaborativa sin compartir sus datos locales con otras partes, manteniendo la privacidad y seguridad de sus datos locales. Debido a su naturaleza de preservación de la privacidad, la FL ha atraído una atención considerable en varios dominios y se ha utilizado en numerosas áreas (Hard et al., 2018; Chen et al., 2019; Ramaswamy et al., 2019; Leroy et al., 2019; Byrd y Polychroniadou, 2020; Chowdhury et al., 2022). Sin embargo, aunque FL no requiere compartir datos sin procesar con otros, su naturaleza descentralizada y colaborativa introduce inadvertidamente vulnerabilidades de privacidad y seguridad (Cao & Gong, 2022; Bhagoji et al., 2019; Lam et al., 2021; Jin et al. , 2021; Tomsett et al., 2019; Chen et al., 2017; Tolpegin et al., 2020; Kariyappa et al., 2022; Zhang et al., 2022c). Los clientes maliciosos en sistemas FL pueden dañar la capacitación al enviar modelos falsos para impedir que el modelo global converja (Fang et al., 2020; Chen et al., 2017), o al colocar puertas traseras para inducir que el modelo global funcione incorrectamente para ciertas muestras ( Bagdasaryan et al., 2020b;a; Wang et al., 2020).
La literatura existente sobre aprendizaje sólido y mitigación de conductas adversas incluye a Blanchard et al. (2017); Yang et al. (2019); Fung et al. (2020); Pillutla et al. (2022); Él y otros. (2022); Cao et al. (2022); Karimireddy et al. (2020); Sol y cols. (2019); Fu et al. (2019); Ozdayi et al. (2021); Sol y cols. (2021), etc. Estos enfoques presentan deficiencias, lo que los hace menos adecuados para sistemas FL reales. Algunas de estas estrategias requieren conocimiento previo sobre la cantidad de clientes maliciosos dentro del sistema FL (Blanchard et al., 2017), aunque en la práctica un adversario no notificaría al sistema antes de atacar. Además, algunos de estos métodos mitigan los impactos de posibles envíos de clientes maliciosos al volver a ponderar los modelos locales (Fung et al., 2020), retener solo varios modelos locales que tienen más probabilidades de ser benignos y eliminar otros (Blanchard et al., 2017), o modificando la función de agregación (Pillutla et al., 2022). Estos métodos tienen el potencial de alterar involuntariamente los resultados de agregación en ausencia de ataques deliberados, considerando que los ataques ocurren con poca frecuencia.
en escenarios del mundo real. Si bien los mecanismos de defensa pueden mitigar el impacto de posibles ataques, pueden comprometer inadvertidamente la calidad del resultado cuando se aplican a casos benignos.
Además, los mecanismos de defensa existentes se implementan en el servidor FL sin ningún procedimiento de verificación para garantizar su correcta ejecución. Si bien la mayoría de los clientes son benignos y desean entrenar modelos de aprendizaje automático de forma colaborativa, también pueden mostrarse escépticos sobre la confiabilidad del servidor debido a la ejecución de los mecanismos de defensa que modifican el procedimiento de agregación original. Por lo tanto, un enfoque exitoso de detección de anomalías debe satisfacer simultáneamente lo siguiente: i) Debe ser capaz de detectar la ocurrencia de ataques y manejar exclusivamente los casos en que ocurren los ataques. ii) Si se detecta un ataque, la estrategia debe detectar aún más envíos de clientes maliciosos y, en consecuencia, mitigar (o eliminar) sus impactos adversos sin dañar los modelos de clientes benignos. iii) Debe existir un mecanismo robusto para corroborar la honesta ejecución de los mecanismos de defensa.
En este trabajo, proponemos un novedoso mecanismo de detección de anomalías que está diseñado específicamente para abordar los desafíos genuinos que enfrentan los sistemas FL del mundo real. Nuestro enfoque sigue un esquema de dos etapas en el servidor para filtrar los envíos de clientes maliciosos antes de la agregación. Comienza con una verificación cruzada basada en un caché llamado "modelos de referencia" para determinar si se ha producido algún ataque. En caso de ataques, se ejecuta una detección posterior entre clientes para eliminar los modelos de clientes maliciosos sin dañar los modelos de clientes benignos. Mientras tanto, los modelos de referencia en el caché se renuevan. Proporcionamos una descripción general en la Figura 1. Nuestras contribuciones se resumen a continuación:
i ) Detección proactiva de ataques. Nuestra estrategia está equipada con una verificación cruzada inicial para detectar la ocurrencia de ataques potenciales, asegurando que los métodos defensivos solo se activen en respuesta a la presencia de ataques, manteniendo así la santidad del proceso en escenarios libres de ataques.
ii ) Detección de anomalías mejorada. Al combinar la verificación cruzada con una detección cruzada posterior, nuestro enfoque elimina de manera eficiente los envíos de clientes maliciosos sin dañar los envíos locales benignos.
iii ) Autonomía respecto de conocimientos previos. Nuestro método funciona de manera efectiva sin ningún requisito previo, como la distribución de datos o la cantidad de clientes maliciosos. Esta naturaleza autónoma garantiza una amplia aplicabilidad y adaptabilidad de nuestro enfoque en diferentes tareas de FL, independientemente de la distribución de datos y la selección de modelos.
iv ) Protocolo de verificación riguroso. Al incorporar metodologías de prueba de conocimiento cero (ZKP) (Goldwasser et al., 1989), nuestro enfoque garantiza que la eliminación de modelos de clientes maliciosos se ejecute correctamente, asegurando que los clientes puedan confiar en el mecanismo de defensa del sistema FL.
L O A D I N G
. . . comments & more!
. . . comments & more!
