分享自:

重新审视个性化联邦学习:对抗后门攻击的鲁棒性

期刊:Proceedings of the 29th ACM SIGKDD Conference on Knowledge Discovery and Data MiningDOI:10.1145/3580305.3599898

这篇文档属于类型a,即报告了一项原创性研究。以下是基于文档内容生成的学术报告:

个性化联邦学习的鲁棒性研究:针对后门攻击的防御
作者及机构
本研究的作者包括Zeyu Qin(香港科技大学)、Liuyi Yao、Daoyuan Chen、Yaliang Li、Bolin Ding(阿里巴巴集团)以及Minhao Cheng(香港科技大学)。该研究发表于2023年8月6日至10日在美国加州长滩举行的第29届ACM SIGKDD知识发现与数据挖掘会议(KDD ‘23)上。

学术背景
随着数据隐私问题的日益突出,联邦学习(Federated Learning, FL)作为一种在不共享数据的情况下协同训练机器学习模型的范式,受到了学术界和工业界的广泛关注。然而,联邦学习系统面临严重的安全威胁,尤其是后门攻击(Backdoor Attacks)。后门攻击通过在训练数据中插入特定触发器,使得模型在遇到带有触发器的样本时表现出异常行为,而在其他情况下表现正常。这种攻击具有隐蔽性强、难以检测的特点。尽管已有许多防御方法针对中毒攻击(Poisoning Attacks)等威胁,但在后门攻击的防御上仍存在挑战。

个性化联邦学习(Personalized Federated Learning, PFL)通过为每个客户端训练个性化的本地模型,解决了数据异构性问题,显著提升了模型在非独立同分布(Non-IID)场景下的预测精度。然而,PFL是否能够增强模型对后门攻击的鲁棒性,尚未有系统研究。因此,本研究旨在探讨PFL方法是否能够带来对后门攻击的鲁棒性,并分析其背后的原因。

研究流程
本研究的主要流程包括以下几个步骤:
1. 实验设计与数据集选择
研究选择了两个广泛使用的图像分类数据集:FEMNIST和CIFAR-10。FEMNIST是一个手写字符识别数据集,包含62个类别;CIFAR-10是一个10类图像分类数据集。这两个数据集分别代表了特征偏移(Feature-Skew)和标签偏移(Label Skew)的非独立同分布场景。研究还考虑了独立同分布(IID)场景作为对照。

  1. PFL方法与后门攻击测试
    研究测试了6种主流的PFL方法,包括FedAvg、Fine-Tuning、FedBN、FedRep、Ditto、PFedME和FedEM,并针对4种广泛使用的后门攻击(BadNet、Blended、Sig和Edge-Case)进行了评估。每种方法在FEMNIST和CIFAR-10数据集上进行了总计600次实验。

  2. 防御性能评估
    研究通过两个指标评估防御性能:干净样本的预测精度(Clean Accuracy, C-Acc)和攻击成功率(Attack Success Rate, ASR)。实验结果显示,部分模型共享的PFL方法(如FedRep和FedBN)显著提升了模型对后门攻击的鲁棒性,而全模型共享的PFL方法则未表现出类似的防御效果。

  3. 消融实验与原因分析
    为了分析不同PFL方法鲁棒性差异的原因,研究进行了消融实验。研究发现,个性化程度是影响鲁棒性的关键因素。部分模型共享的PFL方法通过本地保留的BN层或线性分类器,成功阻止了后门特征在个性化本地模型之间的传播。

  4. 轻量级防御方法的提出
    基于研究结果,作者提出了一种轻量级防御方法——Simple-Tuning。该方法在训练完成后重新初始化每个客户端的线性分类器,并在本地数据集上对其进行训练。实验表明,Simple-Tuning显著提升了模型对后门攻击的鲁棒性,同时保持了较高的预测精度。

主要结果
1. PFL方法的鲁棒性差异
实验结果显示,部分模型共享的PFL方法(如FedRep和FedBN)显著降低了后门攻击的成功率。例如,FedRep将Blended攻击的成功率降低至20%以下,而FedBN在CIFAR-10数据集上将攻击成功率控制在20%以内。相比之下,全模型共享的PFL方法(如Ditto和PFedME)未能显著提升鲁棒性。

  1. 个性化程度与鲁棒性的关系
    研究发现,个性化程度与鲁棒性之间存在强正相关关系。部分模型共享的PFL方法通过本地保留的BN层或线性分类器,有效阻止了后门特征的传播。

  2. Simple-Tuning的防御效果
    Simple-Tuning在FedAvg和Ditto模型上的实验表明,该方法显著降低了后门攻击的成功率,同时提升了干净样本的预测精度。例如,在CIFAR-10数据集上,Simple-Tuning将BadNet攻击的成功率从89.2%降低至39.3%。

结论
本研究表明,部分模型共享的PFL方法能够显著提升模型对后门攻击的鲁棒性,而个性化程度是影响鲁棒性的关键因素。基于这一发现,作者提出的Simple-Tuning方法为联邦学习系统提供了一种轻量级且高效的防御机制。该研究不仅为PFL的鲁棒性提供了理论支持,还为设计更安全的联邦学习方法提供了重要启示。

研究亮点
1. 首次系统性研究
本研究首次系统性地探讨了PFL方法对后门攻击的鲁棒性,填补了这一领域的研究空白。
2. 轻量级防御方法的提出
Simple-Tuning方法不仅显著提升了模型对后门攻击的鲁棒性,还具备低计算成本的特点,适合在实际场景中部署。
3. 数据驱动的研究方法
研究通过大规模实验和消融分析,深入揭示了PFL方法鲁棒性差异的原因,为后续研究提供了重要参考。

其他有价值的内容
研究还开源了代码,为PFL框架下的黑盒后门攻击建立了首个基准测试平台,地址为:https://github.com/alibaba/federatedscope/tree/backdoor-bench。这为后续研究提供了重要的实验基础。

这篇报告详细介绍了研究的背景、流程、结果和结论,旨在为学术界和工业界提供关于个性化联邦学习鲁棒性的全面理解。

上述解读依据用户上传的学术文献,如有不准确或可能侵权之处请联系本站站长:admin@fmread.com