Threats, attacks and defenses to federated learning: issues, taxonomy and perspectives abstract。

解决的问题

前人工作只综述了训练阶段联邦学习面临的问题,本文总结了联邦学习整个生命周期面临的问题。

联邦学习全周期流程

phases
联邦学习被分为三个方面:

  • 数据和行为审计阶段
  • 训练阶段
  • 预测阶段

数据和行为审计阶段

因为 local worker 对数据有着完全的控制权,所以是的数据质量审计和历史行为审计很难开展。被随意篡改的数据可以危害模型的性能表现甚至植入后门等。
由于联邦学习的分布特性,并且数据在各个节点设备上,导致很难对其开展数据质量评估(the Data Quality Assessment)。
其他方法则是针对历史行为展开分析。

训练阶段

训练阶段会遭受投毒攻击、隐私推断攻击等。

Privacy leakage

导致隐私推断攻击的主要原因有:

  • 嵌入层的泄漏
  • 全连接层的泄漏
  • 模型梯度的泄漏

具体攻击有:

  • Membership inference attacks
  • Class represntative inference attacks
  • Propertiy inference attacks
  • Data reconstruction attacks

Threat model of privacy inference
Privacy inference attacks against FL

Poisoning attacks

投毒攻击大致可以分为数据投毒和模型投毒两类。
现有针对投毒攻击的防御方法大致可以分为两类:

  • 鲁棒性聚合 Robustness Aggregation
  • 差分隐私 Differential Privacy

预测阶段

Privacy inference attacks against FL

总结与收获

  • 关键词:data quality assessment
  • A unified sample selection framework for output noise filtering: An error-bound perspective