当前位置:
X-MOL 学术
›
arXiv.cs.CR
›
论文详情
Our official English website, www.x-mol.net, welcomes your
feedback! (Note: you will need to create a separate account there.)
Attack of the Tails: Yes, You Really Can Backdoor Federated Learning
arXiv - CS - Cryptography and Security Pub Date : 2020-07-09 , DOI: arxiv-2007.05084 Hongyi Wang, Kartik Sreenivasan, Shashank Rajput, Harit Vishwakarma, Saurabh Agarwal, Jy-yong Sohn, Kangwook Lee, Dimitris Papailiopoulos
arXiv - CS - Cryptography and Security Pub Date : 2020-07-09 , DOI: arxiv-2007.05084 Hongyi Wang, Kartik Sreenivasan, Shashank Rajput, Harit Vishwakarma, Saurabh Agarwal, Jy-yong Sohn, Kangwook Lee, Dimitris Papailiopoulos
Due to its decentralized nature, Federated Learning (FL) lends itself to
adversarial attacks in the form of backdoors during training. The goal of a
backdoor is to corrupt the performance of the trained model on specific
sub-tasks (e.g., by classifying green cars as frogs). A range of FL backdoor
attacks have been introduced in the literature, but also methods to defend
against them, and it is currently an open question whether FL systems can be
tailored to be robust against backdoors. In this work, we provide evidence to
the contrary. We first establish that, in the general case, robustness to
backdoors implies model robustness to adversarial examples, a major open
problem in itself. Furthermore, detecting the presence of a backdoor in a FL
model is unlikely assuming first order oracles or polynomial time. We couple
our theoretical results with a new family of backdoor attacks, which we refer
to as edge-case backdoors. An edge-case backdoor forces a model to misclassify
on seemingly easy inputs that are however unlikely to be part of the training,
or test data, i.e., they live on the tail of the input distribution. We explain
how these edge-case backdoors can lead to unsavory failures and may have
serious repercussions on fairness, and exhibit that with careful tuning at the
side of the adversary, one can insert them across a range of machine learning
tasks (e.g., image classification, OCR, text prediction, sentiment analysis).
中文翻译:
尾巴的攻击:是的,你真的可以后门联邦学习
由于其分散的性质,联邦学习 (FL) 在训练期间以后门的形式进行对抗性攻击。后门的目标是破坏经过训练的模型在特定子任务上的性能(例如,通过将绿色汽车分类为青蛙)。文献中已经介绍了一系列 FL 后门攻击,以及防御它们的方法,目前是否可以定制 FL 系统以抵抗后门是一个悬而未决的问题。在这项工作中,我们提供了相反的证据。我们首先确定,在一般情况下,对后门的鲁棒性意味着模型对对抗样本的鲁棒性,这本身就是一个主要的开放问题。此外,假设一阶预言机或多项式时间,不太可能检测 FL 模型中后门的存在。我们将理论结果与一系列新的后门攻击相结合,我们将其称为边缘情况后门。边缘案例后门迫使模型对看似简单的输入进行错误分类,但这些输入不太可能成为训练或测试数据的一部分,即它们位于输入分布的尾部。我们解释了这些边缘情况的后门如何导致令人讨厌的失败,并可能对公平性产生严重影响,并表明通过在对手一侧仔细调整,可以将它们插入到一系列机器学习任务中(例如,图像分类、OCR、文本预测、情感分析)。他们生活在输入分布的尾部。我们解释了这些边缘情况的后门如何导致令人讨厌的失败,并可能对公平性产生严重影响,并表明通过在对手一侧仔细调整,可以将它们插入到一系列机器学习任务中(例如,图像分类、OCR、文本预测、情感分析)。他们生活在输入分布的尾部。我们解释了这些边缘情况的后门如何导致令人讨厌的失败,并可能对公平性产生严重影响,并表明通过在对手一侧仔细调整,可以将它们插入到一系列机器学习任务中(例如,图像分类、OCR、文本预测、情感分析)。
更新日期:2020-07-13
中文翻译:
尾巴的攻击:是的,你真的可以后门联邦学习
由于其分散的性质,联邦学习 (FL) 在训练期间以后门的形式进行对抗性攻击。后门的目标是破坏经过训练的模型在特定子任务上的性能(例如,通过将绿色汽车分类为青蛙)。文献中已经介绍了一系列 FL 后门攻击,以及防御它们的方法,目前是否可以定制 FL 系统以抵抗后门是一个悬而未决的问题。在这项工作中,我们提供了相反的证据。我们首先确定,在一般情况下,对后门的鲁棒性意味着模型对对抗样本的鲁棒性,这本身就是一个主要的开放问题。此外,假设一阶预言机或多项式时间,不太可能检测 FL 模型中后门的存在。我们将理论结果与一系列新的后门攻击相结合,我们将其称为边缘情况后门。边缘案例后门迫使模型对看似简单的输入进行错误分类,但这些输入不太可能成为训练或测试数据的一部分,即它们位于输入分布的尾部。我们解释了这些边缘情况的后门如何导致令人讨厌的失败,并可能对公平性产生严重影响,并表明通过在对手一侧仔细调整,可以将它们插入到一系列机器学习任务中(例如,图像分类、OCR、文本预测、情感分析)。他们生活在输入分布的尾部。我们解释了这些边缘情况的后门如何导致令人讨厌的失败,并可能对公平性产生严重影响,并表明通过在对手一侧仔细调整,可以将它们插入到一系列机器学习任务中(例如,图像分类、OCR、文本预测、情感分析)。他们生活在输入分布的尾部。我们解释了这些边缘情况的后门如何导致令人讨厌的失败,并可能对公平性产生严重影响,并表明通过在对手一侧仔细调整,可以将它们插入到一系列机器学习任务中(例如,图像分类、OCR、文本预测、情感分析)。
京公网安备 11010802027423号