paint-brush
강력한 연합 학습을 위한 영지식 이상 탐지 접근 방식~에 의해@quantification
438 판독값
438 판독값

강력한 연합 학습을 위한 영지식 이상 탐지 접근 방식

너무 오래; 읽다

이 백서는 실제 문제를 해결하는 연합 학습 시스템을 위한 최첨단 이상 탐지 접근 방식을 소개합니다. 공격을 사전에 감지하고, 무해한 클라이언트에 해를 끼치지 않고 악의적인 클라이언트 제출을 제거하고, 영지식 증명을 통해 강력한 검증을 보장하는 이 방법은 개인 정보 보호 기계 학습을 위한 획기적인 방법입니다.
featured image - 강력한 연합 학습을 위한 영지식 이상 탐지 접근 방식
Quantification Theory Research Publication HackerNoon profile picture

이 문서는 CC BY-NC-SA 4.0 DEED 라이센스에 따라 arxiv에서 볼 수 있습니다.

저자:

(1) Shanshan Han & Qifan Zhang, UCI;

(2) 텍사스 A&M 대학교 Wenxuan Wu;

(3) Baturalp Buyukates, Yuhang Yao 및 Weizhao Jin, USC;

(4) 살만 아베스티머(Salman Avestimehr), USC 및 FedML.

링크 표

초록 및 소개

문제 설정

제안된 2단계 이상 탐지

ZKP를 활용한 검증 가능한 이상 탐지

평가

관련 작품

결론 및 참고자료

추상적인

연합 학습(FL) 시스템은 글로벌 모델의 수렴을 방지하거나 글로벌 모델이 일부 데이터를 잘못 분류하도록 유도하는 등 적대적인 목표를 달성하기 위해 유해한 로컬 모델을 제출하는 악의적인 클라이언트에 취약합니다. 기존의 많은 방어 메커니즘은 악성 클라이언트 수에 대한 사전 지식이 필요하거나 제출물에 가중치를 다시 부여하거나 수정하는 데 의존하기 때문에 실제 FL 시스템에서는 실용적이지 않습니다. 이는 일반적으로 공격자가 공격하기 전에 자신의 의도를 알리지 않으며, 가중치를 다시 적용하면 공격이 없더라도 집계 결과가 변경될 수 있기 때문입니다. 실제 FL 시스템에서 이러한 문제를 해결하기 위해 이 문서에서는 다음 기능을 갖춘 최첨단 이상 탐지 접근 방식을 소개합니다. i) 공격 발생을 탐지하고 공격이 발생할 때만 방어 작업을 수행합니다. ii) 공격이 발생하면 악성 클라이언트 모델을 추가로 탐지하고 양성 클라이언트 모델에 해를 끼치지 않고 제거합니다. iii) 영지식 증명 메커니즘을 활용하여 서버에서 방어 메커니즘의 정직한 실행을 보장합니다. 우리는 광범위한 실험을 통해 제안된 접근 방식의 우수한 성능을 검증합니다.

1. 소개

FL(Federated Learning)(McMahan et al., 2017a)을 통해 고객은 로컬 데이터를 다른 당사자와 공유하지 않고도 머신러닝 모델을 공동으로 훈련하여 로컬 데이터의 개인 정보 보호 및 보안을 유지할 수 있습니다. 프라이버시 보호 특성으로 인해 FL은 다양한 영역에서 상당한 주목을 받았으며 다양한 영역에서 활용되었습니다(Hard et al., 2018; Chen et al., 2019; Ramaswamy et al., 2019; Leroy et al., 2019; Byrd & Polychroniadou, 2020; Chowdhury 외, 2022). 그러나 FL은 원시 데이터를 다른 사람과 공유할 필요가 없음에도 불구하고 분산화 및 협업 특성으로 인해 실수로 개인 정보 보호 및 보안 취약점이 발생합니다(Cao & Gong, 2022; Bhagoji et al., 2019; Lam et al., 2021; Jin et al. , 2021; Tomsett 등, 2019; Chen 등, 2017; Tolpegin 등, 2020; Kariyappa 등, 2022; Zhang 등, 2022c). FL 시스템의 악의적인 클라이언트는 허위 모델을 제출하여 글로벌 모델의 수렴을 방해하거나(Fang et al., 2020; Chen et al., 2017), 글로벌 모델이 특정 샘플에 대해 잘못 수행되도록 유도하는 백도어를 설치하여 교육에 해를 끼칠 수 있습니다( Bagdasaryan 등, 2020b;a; Wang 등, 2020).


강력한 학습 및 적대적 행동 완화에 관한 기존 문헌에는 Blanchard et al. (2017); Yanget al. (2019); Funet al. (2020); Pillutlaet al. (2022); 그 외 여러분. (2022); Caoet al. (2022); Karimireddyet al. (2020); Sunet al. (2019); Fuet al. (2019); Ozdayiet al. (2021); Sunet al. (2021) 등. 이러한 접근 방식은 단점을 나타내므로 실제 FL 시스템에는 적합하지 않습니다. 이러한 전략 중 일부는 실제로 공격자가 공격하기 전에 시스템에 알리지 않더라도 FL 시스템 내의 악성 클라이언트 수에 대한 사전 지식이 필요합니다(Blanchard et al., 2017). 또한 이러한 방법 중 일부는 로컬 모델에 다시 가중치를 부여하여 잠재적인 악의적 클라이언트 제출의 영향을 완화하고(Fung et al., 2020), 다른 모델을 제거하면서 양성일 가능성이 가장 높은 여러 로컬 모델만 유지합니다(Blanchard et al., 2017) 또는 집계 함수를 수정합니다(Pillutla et al., 2022). 이러한 방법은 공격이 드물게 발생한다는 점을 고려할 때 고의적인 공격이 없을 때 집계 결과를 의도치 않게 변경할 가능성이 있습니다.


그림 1: FL 시스템에 대해 제안된 이상 탐지 개요.


실제 시나리오에서. 방어 메커니즘은 잠재적인 공격의 영향을 완화할 수 있지만, 양성 사례에 적용될 경우 결과 품질이 의도치 않게 손상될 수 있습니다.


또한 기존 방어 메커니즘은 올바른 실행을 보장하기 위해 검증 절차 없이 FL 서버에 배포됩니다. 대부분의 클라이언트는 온화하고 기계 학습 모델을 공동으로 훈련하기를 원하지만 원래 집계 절차를 수정하는 방어 메커니즘의 실행으로 인해 서버의 신뢰성에 회의적일 수도 있습니다. 따라서 성공적인 이상 탐지 접근 방식은 다음을 동시에 충족해야 합니다. i) 공격 발생을 탐지하고 공격 발생 시 독점적으로 처리할 수 있어야 합니다. ii) 공격이 감지되면 전략은 악의적인 클라이언트 제출을 추가로 감지하고 이에 따라 양성 클라이언트 모델에 해를 끼치지 않고 적대적인 영향을 완화(또는 제거)해야 합니다. iii) 방어 메커니즘의 정직한 실행을 뒷받침하는 강력한 메커니즘이 있어야 합니다.


본 연구에서는 실제 FL 시스템이 직면한 실제 문제를 해결하기 위해 특별히 맞춤화된 새로운 이상 탐지 메커니즘을 제안합니다. 우리의 접근 방식은 집계 전에 악의적인 클라이언트 제출을 필터링하기 위해 서버에서 2단계 체계를 따릅니다. 공격이 발생했는지 확인하기 위해 "참조 모델"이라는 일부 캐시를 기반으로 한 교차 검사로 시작됩니다. 공격이 발생하는 경우 양성 클라이언트 모델을 손상시키지 않고 악성 클라이언트 모델을 제거하기 위해 후속 클라이언트 간 검색이 실행됩니다. 동시에 캐시의 참조 모델이 갱신됩니다. 우리는 그림 1에 개요를 제공합니다. 우리의 기여는 다음과 같이 요약됩니다.


i ) 사전 공격 탐지. 우리의 전략에는 잠재적인 공격 발생을 감지하기 위한 초기 교차 점검 기능이 탑재되어 있어 공격이 있을 경우에만 방어 방법이 활성화되도록 보장함으로써 공격 없는 시나리오에서 프로세스의 신성함을 유지합니다.


ii ) 향상된 이상 탐지. 크로스 라운드 검사와 후속 크로스 클라이언트 감지를 결합함으로써 우리의 접근 방식은 양성 로컬 제출을 손상시키지 않고 악의적인 클라이언트 제출을 효율적으로 제거합니다.


iii ) 사전 지식에 따른 자율성. 우리의 방법은 데이터 배포나 악성 클라이언트 수와 같은 전제 조건 없이 효과적으로 작동합니다. 이러한 자율적 특성은 데이터 배포 및 모델 선택에 관계없이 다양한 FL 작업 전반에 걸쳐 우리 접근 방식의 광범위한 적용 가능성과 적응성을 보장합니다.


iv ) 엄격한 검증 프로토콜. 영지식 증명(ZKP)(Goldwasser et al., 1989) 방법론을 통합한 우리의 접근 방식은 악성 클라이언트 모델의 제거가 올바르게 실행되도록 보장하여 클라이언트가 FL 시스템의 방어 메커니즘을 신뢰할 수 있도록 보장합니다.