论文名称 | Defending against the Label-flipping Attack in Federated Learning |
---|---|
作者 | Najeeb Moharram Jebreel, Josep Domingo-Ferrer, David Sánchez, Alberto Blanco-Justicia |
来源 | arXiv 2022 |
领域 | Machine Learning - Federal learning - Security - Label flipping attack |
问题 | 针对LF的现有防御受到数据分布假设的限制,或不能很好地应用到高维模型 |
方法 | 动态地从客户端更新中提取梯度,然后对提取的梯度进行聚类,分析聚类结果,过滤掉可疑更新后再聚合 |
阅读记录
总结
针对标签翻转攻击:
- 某一层神经元的所有误差及其相关权值会影响后一层神经元的计算误差,所以随着模型规模的增大,攻击的影响将与无关神经元的计算误差混合在一起,使得网络中大多数参数都是冗余的,因此仅需提取部分神经元进行分析。
- 攻击者的目标是最大化目标类的预测概率,最小化源类的预测概率。因此,恶意客户端在训练过程中,相关神经元梯度的大小应该大于无关神经元梯度的大小,而良性客户端则相反。所以,训练过程中,良性客户端和恶意客户端在相关神经元梯度之间的夹角大于无关神经元梯度之间的夹角。
- 通过观察可以发现,在不同数据分布的情况下,连接到源类和目标类神经元的输出层参数的梯度可以更好的区分不同客户端。