Основные понятия
ネットワーク構造に特有の側面情報を活用することで、より強力かつ目立たない攻撃を設計できる。
Аннотация
本論文では、連邦学習における悪意のある参加者による攻撃(バイザンチン攻撃)に対する新しい防御策を提案している。
まず、既存のバイザンチン攻撃手法を分析し、それらの長所と短所を明らかにする。特に、指標ごとの統計量に基づく防御手法と幾何学的距離に基づく防御手法に対する攻撃の違いを示す。
次に、ニューラルネットワークの構造に着目し、ネットワーク剪定の手法を応用することで、より強力かつ目立たない攻撃を設計する。提案手法は、2つの部分から構成される。一方は疎な性質を持ち、ニューラルネットワークの感度の高い部分のみを攻撃する。もう一方は時間とともに蓄積されていく静かな攻撃で、それぞれが異なる防御手法に対抗する。
最後に、様々なニューラルネットワークアーキテクチャ、データセット、防御手法に対する実験結果を示し、提案手法の有効性を実証している。
Статистика
ニューラルネットワークの重要なパラメータを攻撃することで、テストの正解率を最大60%低下させることができる。
非IIDデータ環境では、モデルの収束を完全に阻害することができる。
Цитаты
ニューラルネットワークの構造に特有の側面情報を活用することで、より強力かつ目立たない攻撃を設計できる。
ランダムに生成したスパース性のマスクよりも、ネットワーク剪定の手法を用いて生成したマスクの方が、高スパース性の攻撃に有効である。