作者考虑的防御手段包括:FLDetector、FLTrust、AFA、Multi-krum 和 Trimmed mean,以及以下文献中最强的四种模型中毒攻击,即 Fang、LIE、Min-Sum 和 Min-Max。此外,作者考虑了关于对手知识的两种设置:(a)完全(Full):对手知道良性客户端的梯度;(b)部分(Partial):对手对良性客户端共享的梯度更新是不可知的。 减少攻...
相比之下,在模型攻击的联邦学习中,攻击者控制了整个训练过程,但只控制了一个或几个参与者。 攻击目标。攻击者希望通过联邦学习得到一个联合模型,该模型在其主任务和攻击者选择的后门子任务上都能实现高准确度,并且在攻击后的多轮攻击后,在后门子任务上保持高准确度。相比之下,传统的数据攻击旨在改变模型在大面积...
作者考虑的防御手段包括:FLDetector、FLTrust、AFA、Multi-krum 和 Trimmed mean,以及以下文献中最强的四种模型中毒攻击,即 Fang、LIE、Min-Sum 和 Min-Max。此外,作者考虑了关于对手知识的两种设置:(a)完全(Full):对手知道良性客户端的梯度;(b)部分(Partial):对手对良性客户端共享的梯度更新是不可知的。 减少攻...
作者考虑的防御手段包括:FLDetector、FLTrust、AFA、Multi-krum 和 Trimmed mean,以及以下文献中最强的四种模型中毒攻击,即 Fang、LIE、Min-Sum 和 Min-Max。此外,作者考虑了关于对手知识的两种设置:(a)完全(Full):对手知道良性客户端的梯度;(b)部分(Partial):对手对良性客户端共享的梯度更新是不可知的。 减少攻...
在联邦学习应用中根据攻击目标的不同,可以将对抗性攻击大致分为两类,即非定向攻击(Untargeted Attacks)和定向攻击(Targeted Attacks)。非定向攻击的目标是破坏模型,使其无法在主要任务中达到最佳性能。在定向攻击(通常被称为后门攻击(Backdoor Attacks))中,对手的目标是令模型在主要任务中保持良好的整体性能的同时在某...
作者考虑的防御手段包括:FLDetector、FLTrust、AFA、Multi-krum 和 Trimmed mean,以及以下文献中最强的四种模型中毒攻击,即 Fang、LIE、Min-Sum 和 Min-Max。此外,作者考虑了关于对手知识的两种设置:(a)完全(Full):对手知道良性客户端的梯度;(b)部分(Partial):对手对良性客户端共享的梯度更新是不可知的。
作者考虑的防御手段包括:FLDetector、FLTrust、AFA、Multi-krum 和 Trimmed mean,以及以下文献中最强的四种模型中毒攻击,即 Fang、LIE、Min-Sum 和 Min-Max。此外,作者考虑了关于对手知识的两种设置:(a)完全(Full):对手知道良性客户端的梯度;(b)部分(Partial):对手对良性客户端共享的梯度更新是不可知的。
从攻击的对FL的影响程度上分析:由于FedAvg平均聚合方式的存在,从客户端发起的恶意攻击会受到削弱。 GAN-based Attack任务在于推断出全局某一类的表征信息,而不能推理出从客户端层面的目标方(victim)训练数据的表征[解释见图1(a)]。 -具体:输入的是按照类别Category排序的样本X_real,修改鉴别器的结构(softmax)使得...
在联邦学习应用中根据攻击目标的不同,可以将对抗性攻击大致分为两类,即非定向攻击(Untargeted Attacks)和定向攻击(Targeted Attacks)。非定向攻击的目标是破坏模型,使其无法在主要任务中达到最佳性能。在定向攻击(通常被称为后门攻击(Backdoor Attacks))中,对手的目标是令模型在主要任务中保持良好的整体性能的同时在某...
3.如权利要求1所述的一种基于对抗性干扰的联邦学习成员推理攻击防御方法,其特征在于,步骤2包括以下步骤:步骤2.1:利用信噪比SNR,根据式1、式2和式3生成符合高斯分布的噪声向量:首先,设置最小信噪比SNR 和最大信噪比SNR ,其中,SNR 使生成的噪声为0,SNRmin max min max使生成的噪声接近本地模型的参数;然后,取 并...