Bu makale arxiv'de CC BY-NC-SA 4.0 DEED lisansı altında mevcuttur.
Yazarlar:
(1) Shanshan Han ve Qifan Zhang, UCI;
(2) Wenxuan Wu, Teksas A&M Üniversitesi;
(3) Baturalp Buyukates, Yuhang Yao ve Weizhao Jin, USC;
(4) Salman Avestimehr, USC ve FedML.
Önerilen İki Aşamalı Anomali Tespiti
ZKP Kullanılarak Doğrulanabilir Anormallik Tespiti
Birleşik öğrenme (FL) sistemleri, küresel modelin yakınsamasını önlemek veya küresel modelin bazı verileri yanlış sınıflandırmasını teşvik etmek gibi rakip hedeflerine ulaşmak için zehirli yerel modeller gönderen kötü niyetli istemcilere karşı savunmasızdır. Mevcut savunma mekanizmalarının çoğu, kötü niyetli istemcilerin sayısı hakkında önceden bilgi sahibi olmayı gerektirdiğinden veya gönderimlerin yeniden ağırlıklandırılmasına veya değiştirilmesine dayandığından, gerçek dünya FL sistemlerinde pratik değildir. Bunun nedeni, rakiplerin genellikle saldırmadan önce niyetlerini açıklamamaları ve yeniden ağırlıklandırmanın, saldırı olmadığında bile toplama sonuçlarını değiştirebilmesidir. Gerçek FL sistemlerinde bu zorlukların üstesinden gelmek için bu belge, aşağıdaki özelliklere sahip son teknoloji bir anormallik tespit yaklaşımı sunmaktadır: i) Saldırıların meydana geldiğini tespit etmek ve savunma operasyonlarını yalnızca saldırılar gerçekleştiğinde gerçekleştirmek; ii) Bir saldırının meydana gelmesi durumunda, kötü niyetli istemci modellerinin daha da tespit edilmesi ve iyi huylu olanlara zarar vermeden ortadan kaldırılması; iii) Sıfır bilgi kanıtlama mekanizmasından yararlanarak sunucudaki savunma mekanizmalarının dürüst bir şekilde yürütülmesini sağlamak. Önerilen yaklaşımın üstün performansını kapsamlı deneylerle doğruladık.
Birleşik Öğrenme (FL) (McMahan ve diğerleri, 2017a), müşterilerin yerel verilerini diğer taraflarla paylaşmadan, yerel verilerinin gizliliğini ve güvenliğini koruyarak makine öğrenimi modellerini işbirliği içinde eğitmelerine olanak tanır. Gizliliği koruyan doğası nedeniyle FL, çeşitli alanlarda büyük ilgi görmüş ve birçok alanda kullanılmıştır (Hard ve diğerleri, 2018; Chen ve diğerleri, 2019; Ramaswamy ve diğerleri, 2019; Leroy ve diğerleri, 2019; Byrd ve Polychroniadou, 2020; Chowdhury ve diğerleri, 2022). Bununla birlikte, FL ham verilerin başkalarıyla paylaşılmasını gerektirmese de, merkezi olmayan ve işbirlikçi yapısı, yanlışlıkla gizlilik ve güvenlik açıklarına neden olur (Cao ve Gong, 2022; Bhagoji ve diğerleri, 2019; Lam ve diğerleri, 2021; Jin ve diğerleri. , 2021; Tomsett ve diğerleri, 2019; Chen ve diğerleri, 2017; Tolpegin ve diğerleri, 2020; Kariyappa ve diğerleri, 2022; Zhang ve diğerleri, 2022c). FL sistemlerindeki kötü niyetli istemciler, küresel modelin yakınsamasını engellemek için sahte modeller göndererek (Fang ve diğerleri, 2020; Chen ve diğerleri, 2017) veya küresel modelin belirli örnekler için yanlış performans göstermesine neden olacak arka kapılar yerleştirerek eğitime zarar verebilir (Fang ve diğerleri, 2020; Chen ve diğerleri, 2017). Bagdasaryan ve diğerleri, 2020b;a; Wang ve diğerleri, 2020).
Sağlam öğrenme ve düşmanca davranışların azaltılmasına ilişkin mevcut literatür arasında Blanchard ve ark. (2017); Yang ve diğerleri. (2019); Fung ve ark. (2020); Pillutla ve ark. (2022); O ve ark. (2022); Cao ve diğerleri. (2022); Karimireddy ve ark. (2020); Sun ve ark. (2019); Fu ve ark. (2019); Özdayı ve ark. (2021); Sun ve ark. (2021), vb. Bu yaklaşımlar eksiklikler sergilemektedir ve bu da onları gerçek FL sistemleri için daha az uygun hale getirmektedir. Bu stratejilerden bazıları FL sistemindeki kötü niyetli istemcilerin sayısı hakkında önceden bilgi gerektirir (Blanchard ve diğerleri, 2017), ancak pratikte bir düşman, saldırıdan önce sistemi bilgilendirmeyecektir. Ayrıca, bu yöntemlerden bazıları, yerel modelleri yeniden ağırlıklandırarak (Fung ve diğerleri, 2020), yalnızca iyi huylu olma olasılığı en yüksek olan birkaç yerel modeli korurken diğerlerini kaldırarak potansiyel kötü niyetli müşteri gönderimlerinin etkilerini azaltır (Blanchard ve diğerleri, 2017) veya toplama işlevinin değiştirilmesi (Pillutla ve diğerleri, 2022). Saldırıların nadiren gerçekleştiği göz önüne alındığında, bu yöntemlerin, kasıtlı saldırıların olmadığı durumlarda toplama sonuçlarını istemeden değiştirme potansiyeli vardır.
gerçek dünya senaryolarında. Savunma mekanizmaları potansiyel saldırıların etkisini hafifletebilirken, iyi huylu vakalara uygulandığında istemeden de olsa sonuç kalitesini tehlikeye atabilir.
Ayrıca mevcut savunma mekanizmaları, bunların doğru şekilde yürütülmesini sağlamak için herhangi bir doğrulama prosedürü olmaksızın FL sunucusunda konuşlandırılır. Müşterilerin çoğu zararsız olsa ve makine öğrenimi modellerini işbirliği içinde eğitmek istese de, orijinal toplama prosedürünü değiştiren savunma mekanizmalarının yürütülmesi nedeniyle sunucunun güvenilirliği konusunda da şüpheci olabilirler. Dolayısıyla başarılı bir anormallik tespit yaklaşımı aynı anda aşağıdakileri karşılamalıdır: i) Saldırıların meydana geldiğini tespit edebilmeli ve saldırıların gerçekleştiği durumları özel olarak ele alabilmelidir. ii) Bir saldırı tespit edilirse, stratejinin kötü niyetli istemci gönderimlerini daha da tespit etmesi ve buna göre iyi niyetli istemci modellerine zarar vermeden olumsuz etkilerini azaltması (veya ortadan kaldırması) gerekir. iii) Savunma mekanizmalarının dürüst bir şekilde uygulanmasını destekleyecek sağlam bir mekanizma bulunmalıdır.
Bu çalışmada, gerçek dünyadaki FL sistemlerinin karşılaştığı gerçek zorlukları ele almak üzere özel olarak tasarlanmış yeni bir anormallik tespit mekanizması öneriyoruz. Yaklaşımımız, kötü amaçlı istemci gönderimlerini birleştirmeden önce filtrelemek için sunucuda iki aşamalı bir şema izliyor. Herhangi bir saldırının gerçekleşip gerçekleşmediğini belirlemek için "referans modelleri" adı verilen bazı önbellekleri temel alan çapraz kontrolle başlar. Saldırı durumunda, iyi huylu istemci modellerine zarar vermeden kötü amaçlı istemci modellerini ortadan kaldırmak için daha sonra bir istemciler arası algılama gerçekleştirilir. Bu arada önbellekteki referans modeller de yenileniyor. Şekil 1'de genel bir bakış sunuyoruz. Katkılarımız aşağıdaki gibi özetlenmiştir:
i ) Proaktif saldırı tespiti. Stratejimiz, potansiyel saldırıların ortaya çıkışını tespit etmek için bir ilk çapraz kontrol ile donatılmıştır; savunma yöntemlerinin yalnızca saldırıların varlığına yanıt olarak etkinleştirilmesini sağlar ve böylece saldırısız senaryolarda sürecin kutsallığını korur.
ii ) Gelişmiş anormallik tespiti. Çapraz-yönlü kontrolü daha sonraki çapraz istemci tespiti ile birleştiren yaklaşımımız, zararsız yerel gönderimlere zarar vermeden kötü niyetli istemci gönderimlerini etkili bir şekilde ortadan kaldırır.
iii ) Ön bilgiden özerklik. Yöntemimiz, veri dağıtımı veya kötü niyetli istemci sayısı gibi herhangi bir ön koşul olmaksızın etkili bir şekilde çalışmaktadır. Bu özerk yapı, veri dağıtımına ve model seçimine bakılmaksızın, yaklaşımımızın farklı FL görevlerinde yaygın olarak uygulanabilirliğini ve uyarlanabilirliğini sağlar.
iv ) Titiz doğrulama protokolü. Sıfır Bilgi Kanıtı (ZKP) (Goldwasser ve diğerleri, 1989) metodolojilerini birleştiren yaklaşımımız, kötü niyetli istemci modellerinin ortadan kaldırılmasının doğru şekilde yürütülmesini garanti ederek müşterilerin FL sistemindeki savunma mekanizmasına güvenebilmelerini sağlar.