【论文原文】:Manipulating the Byzantine: Optimizing Model Poisoning Attacks and Defenses for Federated Learning
获取地址:https://www.ndss-symposium.org/ndss-paper/manipulating-the-byzantine-optimizing-model-poisoning-attacks-and-defenses-for-federated-learning/
一段话概括这篇论文:在本文中,1.提出了一个模型中毒攻击联邦学习的通用框架;2.提出名为divide-and-conquer (DnC)的防御方法。并通过大量的实验证明所述攻击和防御的效果很好。
【知乎原文】:
请点击阅读原文访问:https://zhuanlan.zhihu.com/p/414022425
相关工作:
这篇论文的优越性体现在和现有方案的比较之上,涉及许多主要的参考文献,可以分为两类:
1、AGR(聚合规则)
2、Attack(攻击)
这篇文章侧重于untargeted model poisoning attacks非定向模型中毒攻击
攻击方案
这篇论文提出的攻击方法,可分为两类:
1、AGR-tailored attacks
2、AGR-agnostic attacks
防御方案DnC:Divide-and-Conquer (DnC)
先总结一下从攻击中获得的具体教训,这些经验可以指导防御方案的设计:
为了提高抗中毒的鲁棒性,需要降低输入梯度的维数;仅提供收敛保证是不够的,鲁棒性聚合应该保证它们检测和去除异常值的能力;鲁棒性聚合需要超越当前仅使用基于维度/距离的过滤方法。
DnC利用基于奇异值分解(singular value decomposition,SVD)的谱方法来检测和去除异常值。以前的工作已经证明了这些方法在减轻针对集中学习的数据中毒方面的理论和经验性能。但是,在普通FL设置中直接在高维梯度上执行SVD开销巨大,所以DnC通过对其输入梯度进行随机抽样来降低维数。此外,还构建了针对DnC的自适应攻击,以证明其鲁棒性。
