Concepts de base
PoisonedFL은 다중 라운드 일관성을 활용하여 연방 학습 프로세스를 오염시켜 최종 학습 모델의 테스트 오류율을 크게 높인다.
Résumé
PoisonedFL은 연방 학습(FL) 시스템에 대한 새로운 모델 오염 공격 기법이다. 기존 공격들은 개별 학습 라운드 내에서의 일관성만을 활용하여 공격 효과가 라운드 간에 상쇄되는 문제가 있었다. 이를 해결하기 위해 PoisonedFL은 다중 라운드 일관성을 활용한다.
구체적으로 PoisonedFL은 가짜 클라이언트의 악의적인 모델 업데이트를 설계할 때 다음 두 가지 핵심 기법을 사용한다:
- 다중 라운드 일관성: 악의적인 모델 업데이트의 방향(부호 벡터)을 라운드 간에 일관되게 유지하여, 라운드 간 상쇄 효과를 방지한다.
- 동적 공격 크기 조절: 악의적인 모델 업데이트의 크기(크기 벡터)를 이전 라운드의 공격 성과에 따라 동적으로 조절하여, 방어 기법에 의해 필터링되는 것을 방지한다.
이를 통해 PoisonedFL은 기존 공격 기법들보다 뛰어난 공격 성능을 보이며, 8개의 최신 방어 기법을 모두 무력화할 수 있다. 또한 PoisonedFL에 특화된 새로운 방어 기법을 제안하고 이를 다시 무력화하는 등, FL 시스템의 취약성을 강조한다.
Stats
최종 학습 모델의 테스트 오류율이 대부분의 경우 90%에 달하여 사실상 무작위 예측 수준이 된다.
기존 공격 기법들에 비해 PoisonedFL의 테스트 오류율이 대부분 더 높다.
PoisonedFL은 8개의 최신 방어 기법을 모두 무력화할 수 있다.
Citations
"PoisonedFL은 다중 라운드 일관성을 활용하여 연방 학습 프로세스를 오염시켜 최종 학습 모델의 테스트 오류율을 크게 높인다."
"PoisonedFL은 기존 공격 기법들보다 뛰어난 공격 성능을 보이며, 8개의 최신 방어 기법을 모두 무력화할 수 있다."