FLARE提出了一种新的防御机制,通过分析模型的倒数第二层特征映射来检测模型投毒攻击。这种方法利用了恶意和良性模型对输入数据关注点的不同来识别异常更新。共谋攻击者的共同特征会导致恶意客户端输出相似度降低,从而提高防御效果。
| 论文名称 | FLARE Defending Federated Learning against Model Poisoning Attacks via Latent Space Representations |
|---|---|
| 作者 | Ning Wang, Yanghua Xiao, Yimin Chen, Yang Hu, W. Lou, Yiwei Thomas Hou |
| 来源 | ACM ASIACCS 2022 |
| 领域 | Machine Learning - Federal learning - Security - Target & unTarget attack |
| 问题 | 已有的防御方式基于对模型参数的分析,在检测更加隐蔽的模型投毒攻击时,显示出有限的有效性 |
| 方法 | FLARE利用模型的倒数第二层表示来表示每个客户端更新的恶意影响,并基于所有模型更新之间的成对PLR差异来估计每个客户端更新的信任得分 |
阅读记录
总结
针对模型投毒攻击:
- 客户端模型在倒数第二层产生的feature map可以表示输入数据的高维特征,而该高维特征体现了不同客户端模型对数据的关注点,又因为良性模型和恶意模型针对同一输入所关注的重要特征不同,所以可以利用该高维特征来区分不同客户端。
- 由于共谋攻击者所关注的特征一致,因此会有相似的模型输出,从而导致恶意客户端输出之间的相似度会小于良性客户端。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
