前言

論文 “PDGAN: A Novel Poisoning Defense Method in Federated Learning Using Generative Adversarial Network” 的閱讀筆記，本博客總結(jié)了其最主要的內(nèi)容。

閱讀前提：對(duì)聯(lián)邦學(xué)習(xí)(federated learning)和生成對(duì)抗網(wǎng)絡(luò)(generative adversarial network)有一定的了解。

---

論文相關(guān)信息

標(biāo)題
PDGAN: A Novel Poisoning Defense Method in Federated Learning Using Generative Adversarial Network

出處和年份

出處年份

Lecture Notes in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics)	2020

論文作者及其工作單位

作者工作單位

Zhao, Ying Chen, Junjun Zhang, Jiale Wu, Di Teng, Jian Yu, Shui

關(guān)鍵詞

Federated learning · Poisoning defense · Generative adversarial network

概述

一種針對(duì)于聯(lián)邦學(xué)習(xí)中投毒攻擊的防御方法

論文研究的問題及其意義

研究的問題該研究的意義

在聯(lián)邦學(xué)習(xí)中，攻擊者可以使用投毒攻擊讓服務(wù)器的全局模型對(duì)某中類別的樣本失效	可以發(fā)現(xiàn)哪些個(gè)服務(wù)端是攻擊者，從而忽略它們上傳的參數(shù)達(dá)到防御目的

現(xiàn)有方法及其優(yōu)缺點(diǎn)

方法優(yōu)點(diǎn)缺點(diǎn)文獻(xiàn)

Secure multiparty computation and homomorphic additive cryptosystem		introduce huge computa- tion overhead to the participants and may bring a negative effect on model accu- racy	[10–12]
Byzantine-tolerant machine learning methods			[13,14]
anomaly detection techniques
k-means and clustering: to check the participants’ updates across communication rounds and remove the outliers			[9,15,16]
cosine similarityand gradients norm detection			[17,18]

上述各種方法在聯(lián)邦學(xué)習(xí)框架下的效果都不好，因?yàn)楦骺蛻舳说挠?xùn)練數(shù)據(jù)是非獨(dú)立同分布的，這導(dǎo)致了各客戶端上傳的更新彼此之間是非常不同的。

論文的思路和方法及其優(yōu)缺點(diǎn)

思路和方法優(yōu)點(diǎn)缺點(diǎn)

由于不知道各客戶端的數(shù)據(jù)，所以在服務(wù)器設(shè)置一個(gè)GAN來產(chǎn)生一個(gè)測(cè)試數(shù)據(jù)集，利用各客戶端本地模型在此數(shù)據(jù)集上的打分來判斷哪個(gè)客戶端是攻擊者。預(yù)先設(shè)定一個(gè)閾值，打分低于這個(gè)閾值的客戶端被視為攻擊者，在以后的訓(xùn)練當(dāng)中忽視它上傳的更新。

PDGAN 的框架

(1） $G:$產(chǎn)生fake data

(2) $D:$ 服務(wù)器的全局模型作為discriminator，對(duì)$G$產(chǎn)生的fake data進(jìn)行判別

論文使用的數(shù)據(jù)集和實(shí)驗(yàn)工具

數(shù)據(jù)集實(shí)驗(yàn)工具源碼

MNIST,Fashion-MNIST	語言框架：PyTorch, 硬軟件設(shè)備：Intel Xeon W-2133 3.6 GHz CPU, Nvidia Quadro P5000 GPU with 16G RAM and RHEL7.5 OS

論文的實(shí)驗(yàn)方法

設(shè)立了兩種情形：
(1) 1 attacker, 9 benign pariticipants, totally10 participants
(2) 3 attackers, 9 benign pariticipents, totally 10 participants

訓(xùn)練數(shù)據(jù)隨機(jī)分配給10個(gè)participants

攻擊任務(wù)
(1) 對(duì)于$MNIST$數(shù)據(jù)集：使全局模型對(duì)標(biāo)簽1判定為標(biāo)簽7
(2) 對(duì)于$Fashion?MNIST$數(shù)據(jù)集：使全局模型對(duì)標(biāo)簽T-shirt判定為標(biāo)簽Pullover

模型的評(píng)價(jià)標(biāo)準(zhǔn)
(1) poisoning accuracy: 將投毒樣本分類為攻擊者設(shè)定的類別的成功率
(2) overall accuracy: 對(duì)所有樣本正確分類的成功率
有個(gè)問題，攻擊者要讓服務(wù)器將1判別為7，正確分類是說服務(wù)器仍將1分類為1，還說將1分類為7也是“正確判別”？

數(shù)據(jù)重構(gòu)
(1) $MNIST:$ 經(jīng)過大概400輪的迭代，可以產(chǎn)生較為清晰的fake data，可以用來對(duì)每個(gè)客戶端進(jìn)行評(píng)測(cè)從而確定哪一個(gè)是投毒攻擊者。
服務(wù)器端的auxiliary data包括標(biāo)簽為0和4的數(shù)據(jù)，用于喂入discriminator。

(2) $Fashion?MNIST:$ 經(jīng)過大概600輪的迭代，可以產(chǎn)生較為清晰的fake data，可以用來對(duì)每個(gè)客戶端進(jìn)行評(píng)測(cè)從而確定哪一個(gè)是投毒攻擊者。
服務(wù)器端的auxiliary data包括標(biāo)簽為dress、coat和sandal的數(shù)據(jù)，用于喂入discriminator。

服務(wù)器端開始檢測(cè)攻擊者的時(shí)機(jī)
(1) $MNIST$數(shù)據(jù)集：實(shí)驗(yàn)設(shè)置服務(wù)器經(jīng)過400的迭代后，將generator產(chǎn)生的fake data用于檢測(cè)投毒攻擊者
(2) $Fashion?MNIST$數(shù)據(jù)集：實(shí)驗(yàn)設(shè)置服務(wù)器經(jīng)過600的迭代后，將generator產(chǎn)生的fake data用于檢測(cè)投毒攻擊者

實(shí)驗(yàn)結(jié)果

對(duì)于$MNIST$數(shù)據(jù)集，400輪迭代后，服務(wù)器端開始使用generator產(chǎn)生的fake data來檢測(cè)攻擊者，可以看到攻擊者的攻擊效果迅速降低（poisoning accurac迅速降低到3.1%）。對(duì)于$Fashion?MNIST$數(shù)據(jù)集，則是從600迭代后開始檢測(cè)攻擊者。

3個(gè)attacker的攻擊效果更好（posioning accuracy上升得更快）。

總結(jié)

以上是生活随笔為你收集整理的PDGAN: A Novel Poisoning Defense Method in Federated Learning Using Generative Adversarial Network笔记的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。