알약으로 인한 중독: 분산 학습에서 탐지를 회피하기

클라이언트 데이터에 대한 직접적인 접근 없이, 연합 학습(FL)은 기존의 분산 기계 학습 기술 중 데이터 프라이버시 보호에 있어 독특한 강점을 가지고 있는 것으로 잘 알려져 있습니다. 그러나 FL의 분산적이고 반복적인 성질은 다양한 중독 공격에 본질적으로 취약하게 만듭니다. 이러한 위협을 대응하기 위해, 다양한 탐지 메트릭스를 이용하여 악성 클라이언트를 필터링하는 광범위한 방어책이 제안되었습니다. 기존의 공격과 방어에 대한 분석을 바탕으로, 우리는 모델 중복성에 대한 관심이 부족하다는 것을 발견했습니다. 신경망에서는 다양한 모델 매개변수가 모델의 성능에 다르게 기여합니다. 그러나 FL에서의 기존 공격은 동일한 전략으로 모든 모델 업데이트 매개변수를 조작하여 일반적인 방어책에 의해 쉽게 탐지되게 만듭니다. 한편, 방어책도 전체 모델 업데이트의 전반적인 통계적 특징을 분석하는 경향이 있어 정교한 공격에 대한 여지를 남깁니다. 이러한 관찰을 바탕으로, 본 논문은 FL 내에서의 탐지를 대비한 기존 FL 중독 공격의 효과성과 스텔스성을 향상시키기 위해 설계된 보편적이고 공격 비특이적인 증강 접근법을 제안하며, 기존 방어의 본질적인 결함을 지적하고 세밀한 FL 보안의 필요성을 드러냅니다. 구체적으로, 우리는 FL 교육 중에 독특한 구조를 가진 작은 서브넷인 알약에 중독(기존 공격에 의해 생성된) 생성을 전략적으로 구축하고 주입하는 세 단계의 방법론을 채택합니다. 우리의 방법으로 향상된 FL 중독 공격이 모든 인기 있는 방어를 우회할 수 있으며, 교차 실로 및 교차 장치 FL 시스템 모두에서 IID 및 비 IID 데이터에 대해 최대 7배의 오류율 증가 및 평균 2배 이상의 오류율 증가를 얻을 수 있다는 광범위한 실험 결과를 보여줍니다.