Redian新闻
>
后门准确率降至3%,主任务性能几乎不变!华工JHU提出全新「联邦学习后门攻击识别」解决方案|ICCV2023

后门准确率降至3%,主任务性能几乎不变!华工JHU提出全新「联邦学习后门攻击识别」解决方案|ICCV2023

公众号新闻



  新智元报道  

编辑:LRS
【新智元导读】无惧联邦学习中的后门攻击!全新解决方案利用多指标和动态加权来自适应地识别后门,在难度最高的Edge-case PGD中,后门准确率仅为3.06%。


由于难以被服务器端的防御方法识别,Edge-case PGD攻击目前已经给联邦学习带来巨大的威胁。
诸如FLAME,Foolsgold等SOTA模型,可以在CIFAR-10数据集上实现高达60%的后门攻击成功率。
最近,华南理工大学AI安全团队联合约翰斯·霍普金斯大学提出了一种抵御联邦学习中后门攻击的新方法,并已被ICCV 2023收录。

论文地址:http://arxiv.org/abs/2303.06601

开源代码:https://github.com/siquanhuang/Multi-metrics_against_backdoors_in_FL

研究在缓解「维度诅咒」的基础上,提出了一种Multi-metrics的动态框架,以强大的后门识别能力将Edge-case PGD攻击的后门准确率降低至惊人3.06%,并且保持着几乎不变的主任务准确率84%,大大提高了联邦学习框架的鲁棒性。

简介

邦学习(FL)的分散性和隐私保护性使其很容易受到后门攻击,这些攻击的目的是在对手选择的特定输入上操纵生成模型的行为。

然而,大多数基于统计差异的防御措施只能对特定攻击有效,尤其是当恶意梯度与良性梯度相似或数据高度非独立且同分布(非IID)时。
研究人员在重新审视了基于距离的防御方法后发现:
1. 欧氏距离在高维度下是毫无意义的;
2. 具有不同特征的恶意梯度无法利用单一的指标进行识别。
为此,研究人员提出了一种简单而有效的防御策略,利用多指标和动态加权来自适应地识别后门。
同时,这种新型防御方法不依赖于对攻击设置或数据分布的预定义假设,对良性性能的影响也很小。
为了评估方法的有效性,研究人员在各种攻击设置下的不同数据集上进行了综合实验,并取得了最佳防御性能。
例如,在难度最高的Edge-case PGD下,后门准确率最低,仅为3.06%,与以往的防御方法相比优势明显。

实验还证明,研究人员提出的方法可以很好地适应各种非IID度,而不会牺牲良性性能。

方法

曼哈顿距离缓解维度诅咒

Theorem1为维度诅咒效应的公式,随着维度d的上升,距离指标将会逐渐丧失意义。
虽然无法彻底解决维度诅咒带来的问题,根据理论证明,研究人员表示曼哈顿距离在高维空间中的识别能力要远远好于常用的欧式距离,可以缓解维度诅咒效应。

Multi-metrics 框架

即便曼哈顿距离有着更好的识别效力,但研究人员并不认为在识别后门攻击时,曼哈顿就能完全替代欧氏距离。

除此以外,先前的工作已经表明,有的后门攻击会在欧氏距离上表现区分度,有的则会在余弦相似度(Cos距离)上表现差异。
于是研究人员决定采用曼哈顿、欧氏和Cos距离共同去识别后门,如上图所示。
在定义好了识别梯度时的指标之后,还有两个障碍:
1. 三种距离有着不同的尺度,由于每个度量都是相关的,因此需要一种新的正则化方法,而不是通常的按最大值进行归一化;
2. 不同的数据分布(如不同程度的非IID)会使恶意客户端和良性客户端的梯度不同。因此,需要动态加权来应对各种环境和攻击,以实现通用防御。
为了解决上述问题,研究人员提出了一种通过浓度矩阵(协方差矩阵的逆)进行白化的方法如上图所示,其中为客户端距离特征向量,为协方差矩阵。
其能够根据每个客户端上三个指标特征的分布动态地决定每个指标的权重,以适应不同的数据分布情况和攻击策略。
在得到了户端的距离得分后,便可以根据该分数聚合更优梯度。

结果


与其他防御比较起来,研究人员提出的方法展现出了巨大的优势,尤其是在面对隐形后门Edge-case PGD,只有这种方法和Flame可以对其有效的防御。

其中Flame还会伴随着主任务性能的明显下降,而新方法几乎没有这种损失。

从训练曲线上看,研究人员提出的方法也有着独树一帜的效果。

此外,研究人员也通过充分的消融实验说明了新方法的有效性。

上图展示了在不同攻击场景下,起主导作用(权重最大)的距离特征的频率。可以看到,在面对不同攻击时,方法分给每个特征的权重是不同的。

换句话说就是,在面对模型替换攻击时(欧氏距离放大),由于攻击梯度在欧式距离上最明显,则会加大欧式距离的权重。而在面对PGD攻击时(欧式距离缩小),欧式距离上攻击梯度与其他良性梯度更相似,则其权重最小。
总结而言,研究人员提出的方法能够在任何情况下,针对不同特征的攻击动态调整各个特征的权重,并给出最合适的加权方案。从而应对各种隐形后门攻击,为联邦学习的安全防护提供有力保障。
参考资料:
http://arxiv.org/abs/2303.06601




微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
比GPT-4还强,20亿参数模型做算术题,准确率几乎100%彭博推出全新基金经理工作台,丰富买方决策辅助解决方案LLM准确率飙升27%!谷歌DeepMind提出全新「后退一步」提示技术又降了!四月以来美国股市最佳表现,通货膨胀率降至3.2%...快克智能,毫米波雷达组装&测试自动化解决方案|年会展商最新数据:加拿大9月份年通胀率降至3.8%!土耳其以弗所(Ephesus),海中城堡谷歌让大模型更具“心智”,GPT-4任务准确率大增更像人脑的新型注意力机制,Meta让大模型自动屏蔽任务无关信息,准确率提高27%再提频!骁龙8Gen3 for Galaxy CPU提频至3.4GHz、GPU提至1GHz英国又一个城市宣布破产!|英国失业率降至3.5%NeurIPS 2023 | FedFed:特征蒸馏应对联邦学习中的数据异构「中科摩通」完成B+轮融资,专注于新能源汽车产业智能装备整体解决方案|36氪首发ICCV 2023 | 即插即用!上海交大提出AccFlow:跨帧光流估计框架东方晶源携一体化良率解决方案亮相ICCAD2023乱云飞, 跟唱视频场景图生成任务新SOTA!中山大学提出全新时空知识嵌入框架,登顶刊TIP'24让大模型看图比打字管用!NeurIPS 2023新研究提出多模态查询方法,准确率提升7.8%一个提示,让Llama 2准确率飙至80.3%?Meta提出全新注意力机制S2A,大幅降低模型幻觉关注 ◇ 加拿大9月通胀率降至3.8%,但这些价格还要涨!年底通胀反弹至5%!下周可能继续加息LLM准确率飙升27%!DeepMind提出全新「后退一步」Prompt技术60s视频识别心理健康状态,准确率达78%,鸿钧智能布局AI心理健康西工大提出全新「群聊式」无人机控制框架!类人对话交互、主动环境感知、自主实体控制ICCV 2023 最佳论文候选!北大提出UniDexGrasp++:基于几何感知课程和迭代通用-专家策略学习的灵巧手抓取算法维基百科+大模型打败幻觉!斯坦福WikiChat性能碾压GPT-4,准确率高达97.3%ICCV 2023 中国遥遥领先!华人拿下最佳论文和最佳学生论文!SAM和ControlNet开启CV新纪元!神秘的大杂院(十)石匠的婚事OpenAI回应ChatGPT服务故障;新研究以99%准确率识别ChatGPT生成化学论文;三星发布自研大模型丨AIGC日报红色日记 金训华 12.1-15出人意料!加拿大十月通胀率降至3.1%,但生活成本仍高浙江东湖,水中乌篷船加拿大9月通胀率降至3.8%,但这些价格还要涨!年底通胀反弹至5%!下周可能继续加息长文本信息准确率超过ChatGPT,Meta提出降低大模型幻觉新方法(好消息)中国出台“便利境外来华人员支付”解决方案中山大学开源VeryFL:基于区块链的联邦学习实验框架ICCV2023奖项出炉!斯坦福ControlNet和多伦多大学分别获得最佳论文!Segment Anything最佳提名
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。