Simple Science

La science de pointe expliquée simplement

# Informatique# Apprentissage automatique# Cryptographie et sécurité

Attaques par porte dérobée dans l'apprentissage par transfert fédéré

Un aperçu des attaques par porte dérobée ciblées dans les systèmes d'apprentissage fédéré.

― 6 min lire

FB-FTL : Une nouvelleFB-FTL : Une nouvellemenacefédéré.dans les systèmes d'apprentissageExamen des attaques backdoor ciblées
Table des matières

L'Apprentissage par transfert fédéré (FTL) est une façon pour différentes parties de bosser ensemble sur la création de modèles de machine learning sans échanger leurs données privées. Imagine un banque et une agence de facturation qui collaborent sur un modèle de risque financier tout en gardant leurs données respectives en sécurité. Le FTL est une forme avancée d'apprentissage fédéré (FL), qui permet aux utilisateurs d'entraîner des modèles de manière collaborative sans exposer leurs données.

La structure de l'apprentissage fédéré

Dans un cadre fédéré typique, un serveur central collecte des mises à jour de différents clients qui ont entraîné leurs modèles sur leurs jeux de données privés. Le serveur combine ensuite ces mises à jour pour former un modèle global. Ce processus aide à maintenir la confidentialité puisque les utilisateurs n'ont pas besoin de partager leurs données brutes.

Dans l'Apprentissage Fédéré Horizontal (HFL), les clients ont des données qui partagent les mêmes caractéristiques mais viennent de différents endroits ou individus. Dans l'Apprentissage Fédéré Vertical (VFL), les clients ont des données des mêmes individus mais avec des caractéristiques différentes. Le FTL, cependant, est encore plus général, permettant aux clients d'avoir des ensembles de données diversifiés en termes de caractéristiques et d'échantillons.

Comprendre les attaques par backdoor

Une attaque par backdoor est une tactique malveillante utilisée dans le machine learning, où un attaquant introduit un déclencheur caché dans un modèle. Quand des entrées spécifiques contenant ce déclencheur sont présentées au modèle, il se comporte comme l'attaquant l'entend. Cela peut entraîner des problèmes de sécurité sérieux, surtout si le modèle est utilisé dans des domaines sensibles comme la finance ou la santé.

Le défi des attaques par backdoor dans le FTL

Dans les scénarios FL traditionnels, il est plus facile d'introduire des attaques par backdoor parce que le modèle peut apprendre de nouvelles caractéristiques pendant l'entraînement. Cependant, dans le FTL, la situation est différente. La partie apprentissage des caractéristiques est faite par le serveur en premier, et cette partie reste inchangée quand les clients entraînent leurs modèles sur leurs données locales. Cette configuration unique complique la tâche des attaquants pour concevoir des déclencheurs backdoor efficaces.

L'attaque par backdoor ciblée (FB-FTL)

Le concept d'attaque par backdoor ciblée (FB-FTL) est introduit comme une façon d'exploiter les vulnérabilités dans le FTL. Cette attaque combine des techniques d'intelligence artificielle explicable (XAI) et de distillation de jeux de données.

  1. Identifier les zones importantes : En utilisant la XAI, les attaquants peuvent découvrir quelles parties d'une image sont les plus importantes pour la prise de décision du modèle.

  2. Créer un déclencheur : En utilisant une méthode appelée distillation de jeux de données, les attaquants peuvent créer un déclencheur qui contient des caractéristiques essentielles de la classe cible et l'intègre dans les zones à haute attention de l'image.

  3. Injecter le déclencheur : La dernière étape consiste à modifier l'image originale pour inclure ce déclencheur de manière à ce que le comportement du modèle soit altéré lorsqu'il voit l'image modifiée.

Tester le FB-FTL

Pour tester l'efficacité du FB-FTL, des expériences sont menées dans un environnement contrôlé. Les chercheurs simulent une situation où plusieurs clients travaillent ensemble pendant qu'un d'eux agit de manière malveillante en injectant un déclencheur backdoor dans leur processus d'entraînement local.

Résultats de l'attaque

Les résultats montrent que le FB-FTL peut obtenir un taux de réussite élevé en trompant le modèle pour qu'il classe mal les entrées lorsque le déclencheur est présent. Cette efficacité persiste même contre diverses défenses conçues pour protéger les modèles fédérés de telles attaques.

Importance des caractéristiques visuelles

L'un des clés du succès du FB-FTL est le positionnement du déclencheur. En le plaçant dans les zones de l'image que le modèle trouve essentielles pour sa prise de décision, les attaquants peuvent considérablement augmenter les chances de réussite de leur attaque. Cette méthode de focalisation de l'attaque la rend beaucoup plus efficace que les approches traditionnelles qui ne tiennent pas compte du fonctionnement du modèle.

Stratégies pour mélanger les déclencheurs

Un aspect notable du FB-FTL est la façon dont il mélange le déclencheur avec l'image originale. En utilisant des métriques de similarité perceptuelle, les chercheurs peuvent s'assurer que les modifications apportées par le déclencheur restent subtiles et ne sont pas facilement détectables.

Défenses contre le FB-FTL

Malgré l'efficacité du FB-FTL, des études examinent également diverses mécanismes de défense. Ces défenses visent à protéger les modèles fédérés des potentielles attaques par backdoor en identifiant et en filtrant les mises à jour malveillantes qui pourraient influencer l'entraînement du modèle.

  1. Défenses d'apprentissage fédéré horizontal : Des techniques telles que Krum et Mean Trimmed sont explorées. Ces défenses visent à filtrer les mises à jour inhabituelles en fonction de certains critères, ce qui peut souvent être efficace mais pas infaillible.

  2. Défenses d'apprentissage fédéré vertical : Certaines stratégies adaptées du VFL sont également évaluées. Ces méthodes ajoutent une couche d'incertitude à l'entraînement du modèle grâce à l'utilisation de labels bruyants, rendant potentiellement plus difficile la réussite d'attaques comme le FB-FTL.

Résumé et directions futures

En conclusion, le FB-FTL représente une nouvelle et efficace méthode pour injecter des attaques par backdoor dans les systèmes d'apprentissage par transfert fédéré. Son succès réside dans sa capacité à focaliser l'attaque sur des zones de haute importance des données d'entrée tout en intégrant le déclencheur de manière fluide dans le contenu original.

À mesure que la technologie avance, comprendre de telles vulnérabilités devient crucial, menant au développement de meilleures mesures de protection. Les travaux futurs pourraient être orientés vers l'amélioration des défenses spécifiques aux scénarios de FTL et l'exploration d'autres voies pour protéger la confidentialité des données dans des environnements de machine learning collaboratif.

Source originale

Titre: Let's Focus: Focused Backdoor Attack against Federated Transfer Learning

Résumé: Federated Transfer Learning (FTL) is the most general variation of Federated Learning. According to this distributed paradigm, a feature learning pre-step is commonly carried out by only one party, typically the server, on publicly shared data. After that, the Federated Learning phase takes place to train a classifier collaboratively using the learned feature extractor. Each involved client contributes by locally training only the classification layers on a private training set. The peculiarity of an FTL scenario makes it hard to understand whether poisoning attacks can be developed to craft an effective backdoor. State-of-the-art attack strategies assume the possibility of shifting the model attention toward relevant features introduced by a forged trigger injected in the input data by some untrusted clients. Of course, this is not feasible in FTL, as the learned features are fixed once the server performs the pre-training step. Consequently, in this paper, we investigate this intriguing Federated Learning scenario to identify and exploit a vulnerability obtained by combining eXplainable AI (XAI) and dataset distillation. In particular, the proposed attack can be carried out by one of the clients during the Federated Learning phase of FTL by identifying the optimal local for the trigger through XAI and encapsulating compressed information of the backdoor class. Due to its behavior, we refer to our approach as a focused backdoor approach (FB-FTL for short) and test its performance by explicitly referencing an image classification scenario. With an average 80% attack success rate, obtained results show the effectiveness of our attack also against existing defenses for Federated Learning.

Auteurs: Marco Arazzi, Stefanos Koffas, Antonino Nocera, Stjepan Picek

Dernière mise à jour: 2024-04-30 00:00:00

Langue: English

Source URL: https://arxiv.org/abs/2404.19420

Source PDF: https://arxiv.org/pdf/2404.19420

Licence: https://creativecommons.org/licenses/by/4.0/

Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.

Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.

Sujets référencés

Plus d'auteurs

Articles similaires