【BARFED】 Byzantine Attack-Resistant Federated Averaging Based on Outlier Elimination

BARFED: Byzantine Attack-Resistant Federated Averaging Based on Outlier Elimination

基于离群值消除的拜占庭抗攻击联邦平均算法

论文

Abstract

提出BarFed，不对实验数据分布、更新参与者的相似性、恶意参与者的比例作出假设。
根据到全局模型的距离考量模型架构中每一层参与者更新的异常状态。

1. Introduction

拜占庭攻击：数据中毒、模型中毒
后门攻击：在特定的子任务上对全局模型造成不利影响，例如：将“卡车”分类为“飞机”。

近期研究中所作假设与FL实际不相符，防御策略需要检查本地数据集或者利用训练过程的部分知识或全部知识。

本文贡献
提出BarFed，对数据分布不作任何假设，不更新参与者相似性，不设置恶意节点比例。

2. Related Work

攻击鲁棒性：

不单独有梯度平均值，引入坐标中位数&坐标上的修剪平均值，在给定百分比中剔除 min&max。
Krum
Bulyan
都假设恶意节点比例已知

还有一些基于在特定条件和假设下工作的方法的聚类或相似性度量：
假设所有节点分布一样，梯度有所不同，①用余弦相似度识别良性节点，②还有基于参与者之间的两两余弦差异聚类，③基于恶意节点集群识别的可视化方法。

针对非同分布数据，现有研究仅有一种非常具体的情况，受信任参与者有位移更新，恶意参与者有类似的更新。

3.Proposed Method

本文模型基于联邦平均FedAvg，服务器通过加权平均进行聚合。

本文核心思想：局部模型通常与全局模型相近，评估局部模型到全局模型的逐层距离来确定异常值，并利用剩余的可靠参与者，BarFed将可靠模型的权重平均值作为全局模型的新权重。

BARFED与以前防御策略的主要区别之一是，参与者被标记为恶意的，即使它有单个异常层，也不包括在聚合中。

提出全有或全无的方法的主要动机是，每个参与者都以整体的方法进行评估。

4.Experimental Design

数据集：MNIST、CIFAR10、Fashion-MNIST

数据分布：
同分布：训练数据集随机均匀分不到参与者，每个参与者平均拥有每个类
非同分布：MNIST和Fashion-MNIST两种标签和CIFAR-10的五种标签随机分发给参与者。

攻击类型：
标签翻转攻击：恶意节点用目标类标签翻转真实标签。
拜占庭攻击：恶意节点从一个均值和单位标准差为零的标准正态分布发送随机权重更新。

攻击者类型：
独立攻击者：单独行动，标签翻转攻击中使用任意目标类标签来翻转真实标签，拜占庭攻击中发送不同的随机权重。
有组织的攻击者：标签翻转中，例如：一个将7翻转为1，另一个将7翻转为4，拜占庭攻击中，在有组织的设置中发送相同的随机权重。

有100个参与者。MNIST有两个模型架构，CIFAR10和Fashion-MNIST只有一个架构。

在CIFAR10实验中，采用水平随机翻转和随机裁剪等数据增强技术，以及学习率调度和梯度裁剪等训练策略来提高模型性能。

5.Experimental Results & Discussion

对于非同分布数据下拜占庭攻击性能较差。

6.Conclusion

本文提出了一种基于异常值消除的无假设抗攻击联邦平均算法BARFED

7.Broader Impact

基于异常值消除的防御方法。

效果不咋地，少数群体代表性不足，准确率降低