Обнаружение аномалий с нулевым разглашением: сопутствующие работы
3 января 2024 г.:::информация Этот документ доступен на arxiv под лицензией CC BY-NC-SA 4.0 DEED.
Авторы:
(1) Shanshan Han & Qifan Zhang, UCI;
(2) Вэньсюань Ву, Техасский университет A&M;
(3) Baturalp Buyukates, Yuhang Yao & Weizhao Jin, USC;
(4) Салман Авестимер, USC & ФедМЛ.
:::
Таблица ссылок
Предлагаемое двухэтапное обнаружение аномалий
Проверяемое обнаружение аномалий с использованием ZKP
6 РАБОТ ПО ТЕМЕ
Обнаружение возникновения атак. Чжан и др. (2022b) использует k-средние для разделения локальных моделей на кластеры, которые соответствуют «доброкачественным» или «злонамеренным». Хотя этот подход может эффективно обнаруживать потенциально вредоносные модели клиентов, он слишком сильно полагается на исторические модели клиентов из предыдущих раундов обучения и может быть не столь эффективным, когда имеется ограниченная информация о прошлых моделях клиентов. Например, в своей реализации (Чжан и др., 2022a), поскольку им необходимо собирать историческую информацию о модели клиента, авторы устанавливают начальный раунд для обнаружения атак для разных раундов обучения, например, 50, когда наборы данных являются MNIST и FEMNIST, и 20, когда набор данных CIFAR10. По-видимому, это не подходит для реальных систем FL, поскольку атаки могут происходить и на более ранних раундах.
Защитные механизмы во Флориде. Надежное обучение и смягчение враждебного поведения во Флориде широко исследовались (Blanchard et al., 2017; Yang et al., 2019; Fung et al., 2020; Pillutla et al., 2017; Yang et al., 2019; Fung et al., 2020; Pillutla et al., al., 2022; He et al., 2022; Karimireddy et al., 2020; Sun et al., 2019; Fu et al., 2019; Ozdayi et al., 2021; Sun et al., 2021; Yin et al. ., 2018; Chen et al., 2017; Guerraoui et al., 2018; Xie et al., 2020; Li et al., 2020; Cao et al., 2020). Некоторые подходы сохраняют несколько локальных моделей, которые с большей вероятностью окажутся благоприятными на каждой итерации FL, например (Blanchard et al., 2017; Guerraoui et al., 2018; Yin et al., 2018) и (Xie et al., 2020). Для каждого раунда FL вместо использования всех представлений клиентов для агрегирования такие подходы сохраняют локальные модели, которые с наибольшей вероятностью будут безопасными для представления других локальных моделей. Такие подходы эффективны, но они сохраняют меньше локальных моделей, чем реальное количество доброкачественных локальных моделей, чтобы гарантировать, что все византийские локальные модели отфильтровываются, что приводит к отсутствию представления некоторых доброкачественных локальных моделей в агрегации. Это полностью тратит вычислительные ресурсы доброкачественных клиентов, которые не выбираются, и, таким образом, изменяет результаты агрегации, поскольку некоторые доброкачественные локальные модели не участвуют в агрегации. Некоторые подходы переоценивают или изменяют местные модели, чтобы смягчить воздействие потенциально вредоносных материалов (Fung et al., 2020; Karimireddy et al., 2020; Sun et al., 2019; Fu et al., 2019; Ozdayi et al. , 2021; Sun et al., 2021), в то время как другие подходы изменяют функцию агрегации или напрямую модифицируют результаты агрегации (Pillutla et al., 2022; Karimireddy et al., 2020; Yin et al., 2018; Chen et al. , 2017). Хотя эти защитные механизмы могут быть эффективны против атак, они могут непреднамеренно ухудшить качество результатов из-за непреднамеренного изменения результатов агрегирования, даже если атак нет. Это особенно проблематично, учитывая нечастость атак в реальных сценариях FL.
Оригинал