Simple Science

Hochmoderne Wissenschaft einfach erklärt

# Computerwissenschaften# Maschinelles Lernen# Künstliche Intelligenz

Datenvergiftungsanfälligkeiten im SplitFed Lernen

Die Risiken von Datenvergiftung in SplitFed Learning-Anwendungen untersuchen.

― 8 min Lesedauer

SplitFed Learning: EinSplitFed Learning: EinDatenschutzrisikoSystemen.Modellgenauigkeit in kollaborativenDatenvergiftungsangriffe bedrohen die
Inhaltsverzeichnis

Maschinelles Lernen ist bei vielen Organisationen, einschliesslich Regierungen, Tech-Firmen und kleinen Unternehmen, mega angesagt. Ein grosses Problem beim traditionellen maschinellen Lernen ist, wie man persönliche Daten sicher hält, während man sie trotzdem zum Trainieren von Modellen nutzt. Zwei Methoden, die dabei helfen, heissen Federated Learning (FL) und Split Learning (SL). Kürzlich wurde ein neuer Ansatz namens SplitFed Learning (SFL) entwickelt, der diese beiden Methoden kombiniert, um die Privatsphäre und Effizienz zu verbessern.

In diesem Artikel werden die Schwächen von SFL im Hinblick auf Datenvergiftungsangriffe diskutiert, eine Art Angriff, bei dem ein böswilliger Akteur versucht, die Trainingsdaten zu beeinflussen, um die Leistung des Modells zu schädigen. Wir werden verschiedene Angriffsarten betrachten und ihre Auswirkungen auf zwei spezifische Anwendungen untersuchen: das Erkennen handgeschriebener Ziffern und die Klassifikation von Herzsignalen.

Hintergrund zum Maschinellen Lernen

Maschinelles Lernen (ML) ist eine Möglichkeit für Computer, aus Daten zu lernen und Vorhersagen basierend auf diesen Daten zu treffen. Es wird häufig in Bereichen wie Produktempfehlungen, Bildanalyse und dem Verständnis menschlicher Sprache eingesetzt. Die meisten ML-Modelle lernen aus gekennzeichneten Daten, was ihnen hilft, genaue Vorhersagen zu treffen. Allerdings kann es schwierig sein, genug qualitativ hochwertige Daten zu sammeln, besonders wenn Datenschutz ein Anliegen ist.

Federated Learning

Federated Learning ermöglicht es vielen Klienten (Benutzern), ein Modell zu trainieren, ohne ihre lokalen Daten mit einem zentralen Server zu teilen. Stattdessen senden die Klienten Aktualisierungen an den Server, der diese Aktualisierungen kombiniert, um ein globales Modell zu erstellen. So bleiben persönliche Daten auf dem Gerät des Klienten und die Privatsphäre wird erhöht. Dieses Verfahren hat jedoch auch Herausforderungen, wie zum Beispiel die begrenzte Rechenleistung der Klienten und die Möglichkeit, dass böswillige Akteure in den Trainingsprozess eingreifen.

Split Learning

Beim Split Learning wird das Modell in zwei Teile aufgeteilt: Ein Teil befindet sich auf dem Gerät des Klienten, der andere auf dem Server. Klienten führen einige Berechnungen an ihren Daten durch und senden nur die Ergebnisse (auch als "smashed data" bezeichnet) an den Server. Diese Methode bietet eine weitere Datenschutzebene, da der Server keinen direkten Zugriff auf die Rohdaten des Klienten hat. Allerdings kann es langsamer sein, weil Klienten die Daten nur nacheinander verarbeiten können.

SplitFed Learning

SplitFed Learning kombiniert die Vorteile von FL und SL. Es ermöglicht den Klienten, das Modell zwischen ihnen und dem Server aufzuteilen, wodurch das Modell parallel trainiert werden kann, was Zeit und Ressourcen spart. Dieser neue Ansatz hat jedoch auch seine Schwächen, insbesondere bei Angriffen, die darauf abzielen, die Daten, die für das Training der Modelle verwendet werden, zu verderben.

Datenvergiftungsangriffe

Datenvergiftungsangriffe treten auf, wenn jemand absichtlich schlechte Daten zum Trainingsdatensatz hinzufügt, um das Ergebnis des Modells zu beeinflussen. Diese Angriffe können zwei Hauptformen annehmen: Clean Label Poisoning, wo falsche Daten in den Trainingssatz injiziert werden, und Dirty Label Poisoning, wo die tatsächlichen Labels der Daten geändert werden.

Dieser Artikel konzentriert sich auf drei spezifische Arten von Datenvergiftungsangriffen, die gegen SFL verwendet werden:

  1. Gezielte Angriffe: Der Angreifer wählt eine bestimmte Klasse aus und ändert ihre Labels in etwas anderes. Ziel ist es, die Genauigkeit des Modells für diese ausgewählte Klasse zu verringern, ohne die anderen zu beeinflussen.

  2. Ungerichtete Angriffe: Anstatt eine bestimmte Klasse zu zielen, ändert der Angreifer die Labels zufällig über verschiedene Klassen hinweg. Dies hat tendenziell einen stärkeren Einfluss auf die Gesamtgenauigkeit des Modells.

  3. Abstandsbasierte Angriffe: Bei dieser Methode wählt der Angreifer sorgfältig die Labels aus, die er ändern möchte, und konzentriert sich auf die, die in Bezug auf die Eigenschaften der Daten weiter entfernt sind. Dies kann die Effektivität des Angriffs erhöhen.

Überblick über das Experiment

In dieser Forschung wurden verschiedene Angriffsarten an zwei spezifischen Fallstudien getestet, um zu sehen, wie jede Art die Leistung des Modells beeinflusst. Die erste Fallstudie betraf das Erkennen handgeschriebener Ziffern mit dem MNIST-Datensatz, während die zweite die Klassifikation von ECG-Signalen zur Erkennung verschiedener Herzschläge beinhaltete.

Fallstudie 1 - Handgeschriebene Ziffernerkennung

Der MNIST-Datensatz enthält Bilder handgeschriebener Ziffern von null bis neun. Die Forscher teilten die Daten in 60.000 Trainingsbilder und 10.000 Testbilder auf. Jedes Bild hat eine Grösse von 28x28 Pixeln, was es zu einem einfachen Datensatz für die Testung verschiedener ML-Modelle macht.

Fallstudie 2 - Klassifikation von ECG-Signalen

Die zweite Studie verwendete den MIT-BIH Arrhythmia-Datensatz, der ECG-Signale enthält, die nützlich sind, um abnormale Herzrhythmen zu erkennen. Dieser Datensatz besteht aus 48 Aufnahmen, die jeweils über 30 Minuten getätigt wurden und die elektrischen Aktivitäten des Herzens erfassen. Ziel ist es, diese Signale in mehrere Kategorien von Herzschlägen zu klassifizieren.

Umsetzung der Angriffe

Es wurden eine Reihe von Experimenten durchgeführt, bei denen verschiedene Prozentsätze von Klienten als böswillig eingestuft wurden. Mehrere Modelle wurden eingerichtet, um die Auswirkungen verschiedener Angriffsarten unter realistischen Bedingungen zu beobachten, wobei die Anzahl der böswilligen Klienten und die Schichten, in denen die Modelle aufgeteilt wurden, variiert wurden.

Einrichtung zur Handgeschriebenen Ziffernerkennung

In der MNIST-Fallstudie wurde der Datensatz auf zehn Klienten aufgeteilt, wobei jeder Klient einen Anteil der Trainingsbilder hatte. Die Forscher richteten den Trainingsprozess so ein, dass er 40 Epochen durchlief, um genügend Lernzeit zu ermöglichen.

Einrichtung zur Klassifikation von ECG-Signalen

Für die ECG-Signale wurden fünf Klienten verwendet, die jeweils unterschiedliche Teile des Trainingsdatensatzes erhielten. Die Gesamttrainingsläufe wurden auf 50 Epochen festgelegt, um die Konvergenz während des Trainings sicherzustellen.

Angriffsstrategien

Gezielte Angriffe

Bei gezielten Angriffen entscheidet der Angreifer, welche Labels geändert werden sollen, um bestimmte Klassen weniger genau zu machen. Zum Beispiel, wenn die Klasse "Kreise" ist, könnte der Angreifer diese in "Quadrate" ändern, um den Klassifizierer in die Irre zu führen.

Ungerichtete Angriffe

Bei ungerichteten Angriffen ist die Strategie des Angreifers zufälliger. Er kann Labels über alle Klassen hinweg ändern, was zu einem signifikanten Rückgang der Gesamtgenauigkeit führen kann, da mehrere falsche Labels das Modell beeinflussen.

Abstandsbasierte Angriffe

Mit dieser Strategie sucht der Angreifer nach Datenpunkten, die weit von anderen entfernt sind, und wählt strategisch diese Labels aus, um die Klassenlabels zu manipulieren, was zu grösseren Fehlern bei den Vorhersagen führen kann.

Ergebnisse der Angriffe

Die Ergebnisse zeigten, wie effektiv jede Art von Angriff war, sowie, wie viele böswillige Klienten an den Experimenten beteiligt waren.

Genauigkeitsabfall

Für den MNIST-Datensatz war die Genauigkeit erheblich von den Angriffsarten betroffen. Bei ungerichteten Angriffen fiel die Genauigkeit drastisch ab, insbesondere als der Prozentsatz der böswilligen Klienten anstieg. Sogar bei nur 20% böswilligen Klienten fiel die Genauigkeit merklich ab.

Für den ECG-Datensatz zeigten die Ergebnisse einen noch drastischeren Rückgang der Genauigkeit. Zum Beispiel, bei 40% modifizierten Klienten fiel die Genauigkeit von rund 88% auf so niedrig wie 26%, was die Anfälligkeit dieser Methode für Datenvergiftungsangriffe verdeutlicht.

Leistung der Angriffsarten

  • Ungerichtete Angriffe: Diese Angriffe führten zu dem grössten Rückgang der Genauigkeit über beide Datensätze hinweg. In der ECG-Fallstudie fiel die Leistung um über 60%, als viele böswillige Klienten anwesend waren.

  • Gezielte Angriffe: Obwohl sie effektiv waren, produzierten gezielte Angriffe einen geringeren Rückgang der Genauigkeit im Vergleich zu ungerichteten. Die Natur dieser Angriffe konzentriert sich auf weniger spezifische Klassen, was zu weniger Rauschen im System führt.

  • Abstandsbasierte Angriffe: Diese Angriffe lagen irgendwo dazwischen. Sie waren effektiver als gezielte Angriffe, aber nicht so verheerend wie ungerichtete. Durch die Fokussierung auf entfernte Labels konnten Angreifer dennoch einen erheblichen Einfluss auf die Genauigkeit ausüben.

Diskussion der Ergebnisse

Die Ergebnisse deuteten darauf hin, dass SFL-Frameworks anfällig für eine Vielzahl von Angriffen sind, die zu überbewerteten Vorhersagen und fehlerhaften Modellausgängen führen können. Die Fähigkeit eines Angreifers, Daten zu modifizieren, insbesondere bei ungerichteten Angriffen, war deutlich sichtbar.

Die Erhöhung der Anzahl böswilliger Klienten korrelierte direkt mit einem Rückgang der Leistung der Modelle. Sogar eine kleine Anzahl kompromittierter Klienten konnte einen kritischen Rückgang der Gesamteffektivität des Lernsystems verursachen.

Auswirkungen auf die Nutzung von SFL

Die entdeckten Schwachstellen in SFL haben wichtige Implikationen für die Verwendung in realen Anwendungen. Systeme müssen mit besseren Schutzmassnahmen und Monitoring gestaltet werden, um sicherzustellen, dass diese Datenvergiftungsangriffe frühzeitig erkannt werden, bevor erheblicher Schaden entstehen kann.

Fazit

Die Forschung wirft ein Licht auf die Risiken, denen SFL durch Datenvergiftungsangriffe ausgesetzt ist. Durch die Untersuchung, wie gezielte, ungerichtete und abstandsbasierte Angriffe die Leistung der maschinellen Lernmodelle beeinflussen, trägt diese Studie wertvolle Einsichten dazu bei, SFL zu einer sichereren Option für verteiltes Lernen zu machen.

Während sich das maschinelle Lernen weiterentwickelt und in verschiedenen Bereichen integriert, wird es entscheidend sein, die Risiken, die durch böswillige Angriffe entstehen, zu verstehen und zu mindern. Künftige Arbeiten sollten sich auf die Entwicklung stärkerer Abwehrmassnahmen gegen diese Angriffsarten konzentrieren, um die Zuverlässigkeit und Genauigkeit kollaborativer maschineller Lernsysteme sicherzustellen.

Originalquelle

Titel: Analyzing the vulnerabilities in SplitFed Learning: Assessing the robustness against Data Poisoning Attacks

Zusammenfassung: Distributed Collaborative Machine Learning (DCML) is a potential alternative to address the privacy concerns associated with centralized machine learning. The Split learning (SL) and Federated Learning (FL) are the two effective learning approaches in DCML. Recently there have been an increased interest on the hybrid of FL and SL known as the SplitFed Learning (SFL). This research is the earliest attempt to study, analyze and present the impact of data poisoning attacks in SFL. We propose three kinds of novel attack strategies namely untargeted, targeted and distance-based attacks for SFL. All the attacks strategies aim to degrade the performance of the DCML-based classifier. We test the proposed attack strategies for two different case studies on Electrocardiogram signal classification and automatic handwritten digit recognition. A series of attack experiments were conducted by varying the percentage of malicious clients and the choice of the model split layer between the clients and the server. The results after the comprehensive analysis of attack strategies clearly convey that untargeted and distance-based poisoning attacks have greater impacts in evading the classifier outcomes compared to targeted attacks in SFL

Autoren: Aysha Thahsin Zahir Ismail, Raj Mani Shukla

Letzte Aktualisierung: 2023-07-03 00:00:00

Sprache: English

Quell-URL: https://arxiv.org/abs/2307.03197

Quell-PDF: https://arxiv.org/pdf/2307.03197

Lizenz: https://creativecommons.org/licenses/by/4.0/

Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.

Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.

Referenz Links
Referenzierte Themen

Mehr von den Autoren

Ähnliche Artikel