Aggressive or Imperceptible, or Both: Network Pruning Assisted Hybrid Byzantines in Federated Learning

Dieser Beitrag stellt einen hybriden, spärlichen byzantinischen Angriff auf das Federated Learning vor, der eine auf Sensitivität basierende Parametermanipulation mit einer langsam akkumulierenden Vergiftung kombiniert, um State-of-the-Art-Verteidigungen effektiv zu umgehen, indem er die neuronale Netzwerkarchitektur ausnutzt, anstatt sich auf die statistische Erkennung von Ausreißern zu verlassen.

Das Wesentliche

Stellen Sie sich ein massives, kollaboratives Kunstprojekt vor, bei dem Tausende von Künstlern (genannt „Clients") gemeinsam versuchen, ein einziges, perfektes Meisterwerk zu malen, ohne jemals ihre privaten Skizzen jemandem zu zeigen. Sie senden ihre Pinselstriche an einen zentralen Kurator (den „Server"), der sie alle mischt, um die nächste Version des Gemäldes zu erstellen. Dies ist Federated Learning.

Das Problem? Einige der Künstler sind tatsächlich Saboteure (genannt „Byzantiner"). Sie wollen das Gemälde ruinieren. Aber hier liegt der Haken: Der Kurator kann die Identität jedes einzelnen Künstlers nicht überprüfen, und die Künstler arbeiten mit unterschiedlichen Stilen und Materialien. Wenn die Saboteure einfach nur leuchtend rote Farbe überallhin werfen, wird der Kurator sie sofort entdecken und sie hinauswerfen.

Diese Arbeit stellt eine neue, hinterhältige Methode vor, mit der Saboteure das Gemälde ruinieren können, ohne erwischt zu werden. Sie nennen dies den Hybrid Sparse Attack (HSA).

So funktioniert es, aufgeteilt in einfache Konzepte:

1. Der alte Weg: Das „Langsame Gift" gegen den „Großen Hammer"

Frühere Saboteure hatten zwei Hauptstrategien, doch beide hatten Mängel:

• Das Langsame Gift (wie ALIE): Sie fügten winzige, kaum wahrnehmbare Änderungen zum Gemälde hinzu. Es war sehr schwer zu entdecken, aber der Schaden war langsam und schwach. Es war, als würde man einen Tropfen Gift in eine riesige Suppe geben; die Suppe schmeckte immer noch größtenteils gut.
• Der Große Hammer: Sie fügten riesige, offensichtliche Änderungen hinzu. Dies ruinierte das Gemälde schnell, aber der Kurator sah sofort die roten Flaggen und warf die Saboteure hinaus.

Die Arbeit argumentiert, dass man mit den alten Methoden nicht sowohl Geschwindigkeit als auch Heimlichkeit haben kann.

2. Der neue Trick: Der „Scharfschütze und der Geist"

Die Autoren erkannten, dass nicht alle Teile des Gemäldes gleich wichtig sind. Einige Pinselstriche (Gewichte des neuronalen Netzwerks) sind für die Struktur des Bildes entscheidend, während andere nur Hintergrundrauschen sind. Sie erkannten auch, dass man, wenn man die richtigen Stellen manipuliert, nicht alle manipulieren muss.

Ihr neuer Angriff kombiniert zwei Taktiken zu einer:

• Der Geist (Der heimliche Teil): Sie bringen winzige, unsichtbare Änderungen an den meisten Teilen des Gemäldes an. Dies lässt den Kurator denken: „Hey, das sieht normal aus."
• Der Scharfschütze (Der aggressive Teil): Sie identifizieren die spezifischen, empfindlichsten „kritischen Schichten" des Gemäldes (wie die Augen oder das Gesicht). Auf diesen spezifischen Stellen wenden sie eine massive Menge an Schaden an.

Die Analogie: Stellen Sie sich einen Sicherheitsbeamten vor, der eine Menschenmenge überprüft.

• Wenn jeder in der Menge einen leicht unterschiedlichen Hut trägt, kann der Beamte nicht erkennen, wer der Spion ist.
• Der „Geist"-Teil sorgt dafür, dass sich der Spion in die allgemeine Stimmung der Menge einfügt.
• Der „Scharfschütze"-Teil ist der Spion, der dem Beamten leise nur in dem exakten Moment, in dem der Beamte wegsieht, die Waffe gegen eine Banane austauscht. Der Rest der Ausrüstung des Beamten sieht normal aus, sodass der Beamte nichts ahnt, bis es zu spät ist.

3. Nutzung des „Bauplans" (Architektur-Bewusstsein)

Die meisten früheren Angriffe waren „blind". Sie warfen Farbe zufällig, in der Hoffnung, etwas Wichtiges zu treffen.

Dieser neue Angriff ist intelligent. Er betrachtet den „Bauplan" des neuronalen Netzwerks (die Architektur). Er weiß genau, welche Schichten die „empfindlichen" sind (wie die vollverbundenen Schichten am Ende des Netzwerks) und welche die „kritischen" sind (wie die Batch-Normalisierung).

• Es verwendet eine Pruning-Technik (normalerweise verwendet, um KI kleiner und schneller zu machen), um die fragilsten Stellen im Netzwerk zu finden.
• Es konzentriert seinen „Scharfschützen"-Schaden auf diese fragilen Stellen, während der Rest des Netzwerks „geprunt" und normal aussieht.

4. Die Ergebnisse: Ein Meisterwerk wird zu Trümmern

Die Autoren testeten dies gegen acht verschiedene „Sicherheitsbeamte" (Abwehrmechanismen), die derzeit als die besten der Welt gelten.

• In einer normalen, organisierten Gruppe (IID-Daten): Ihr Angriff reduzierte die Qualität des finalen Gemäldes um bis zu 55 %.
• In einer chaotischen, unordentlichen Gruppe (Non-IID-Daten): Der Angriff war so effektiv, dass das Gemälde komplett auseinanderfiel, wobei die Genauigkeit auf knapp 10 % sank (was im Grunde zufälliges Raten ist).

Sogar die fortschrittlichsten Sicherheitsbeamten, die Saboteure normalerweise durch die Suche nach statistischen Ausreißern oder das Messen von Abständen zwischen Updates aufspüren, wurden getäuscht. Der Angriff war stark genug, um das Modell zu brechen, aber „sparse" genug, um sich ungestört zu verstecken.

Das Fazit

Die Arbeit behauptet, dass aktuelle Sicherheitssysteme für kollaborative KI anfällig sind, weil sie die interne Struktur der KI, die sie schützen, nicht verstehen. Indem sie den eigenen „Bauplan" der KI nutzen, um die Schwachstellen zu finden und sie chirurgisch anzugreifen, können Saboteure sowohl aggressiv (massiven Schaden verursachend) als auch unwahrnehmbar (sich ungestört versteckend) sein.

Die Autoren schließen daraus, dass dies das erste Mal ist, dass ein Angriff die eigene Architektur des Netzwerks erfolgreich nutzt, um seinen Sabotageakt zu leiten, wodurch eine „universelle" Bedrohung entsteht, die gegen fast jede bekannte Abwehr funktioniert.

Technische Zusammenfassung

Technische Zusammenfassung: Aggressiv, unmerklich oder beides: Architekturbewusste hybride byzantinische Angriffe im Federated Learning

Problemstellung

Federated Learning (FL) ermöglicht das kollaborative Trainieren von Modellen über verteilte Clients hinweg, ohne Rohdaten auszutauschen. Die Unfähigkeit jedoch, jeden Client im großen Maßstab zu profilieren und zu verifizieren, führt zu einer kritischen Sicherheitslücke: byzantinische Angriffe. Böswillige Clients können vergiftete Modell-Updates einreichen, um die Genauigkeit des globalen Modells zu verschlechtern oder eine Divergenz zu verursachen.

Bestehende Verteidigungsmechanismen stützen sich primär auf Ausreißererkennung und behandeln bösartige Updates als statistische Anomalien basierend auf geometrischen Abständen oder indexweisen Statistiken. Diese Verteidigungen gehen oft davon aus, dass die interne Struktur des neuronalen Netzwerks (NN) für die Angriffsstrategie irrelevant ist. Umgekehrt ignorieren bestehende Angriffsstrategien (z. B. ALIE, IPM) typischerweise die spezifische Architektur des Ziel-NN und konzentrieren sich stattdessen auf die statistische Manipulation von Gradienten. Diese Arbeit vertritt die These, dass aktuelle Verteidigungen anfällig sind, weil sie die Empfindlichkeit spezifischer Netzgewichte und die topologische Struktur des Modells nicht berücksichtigen, was Angreifern ermöglicht, Störungen zu konstruieren, die sowohl hochwirksam als auch schwer zu erkennen sind.

Methodik: Hybrider Sparse-Byzantinischer Angriff (HSA)

Die Autoren schlagen ein neues Angriffsframework namens Hybrid Sparse Byzantine Attack (HSA) vor. Im Gegensatz zu früheren Methoden, die „architekturagnostisch" sind, nutzt HSA explizit Seiteninformationen bezüglich der NN-Architektur, um das Design der Störungen zu steuern. Der Angriff kombiniert zwei koordinierte Komponenten, um Unmerklichkeit (Umgehung der Erkennung) und Stärke (Maximierung des Schadens) in Einklang zu bringen:

1. Sparse Aggressive Component (Sparsamer aggressiver Anteil):

   • Diese Komponente zielt auf eine kleine, sorgfältig ausgewählte Teilmenge von Netzparametern (Gewichten) ab, die als hochsensibel gegenüber Störungen identifiziert wurden.
   • Sie nutzt ein Netzwerk-Pruning-Framework (insbesondere den FORCE-Algorithmus), um diese kritischen Gewichte zu identifizieren. Die Autoren argumentieren, dass analog dazu, wie Pruning nicht-essentielle Gewichte identifiziert, die verbleibenden „sensiblen" Gewichte die wirkungsvollsten Ziele für einen Angriff sind.
   • Durch die Konzentration eines großen Störungsbudgets ($z_2$) auf diese spärlichen Stellen erreicht der Angriff eine hohe Störung bei minimaler globaler Abweichung.

2. Dense Stealthy Component (Dichter verdeckter Anteil):

   • Diese Komponente imitiert das Verhalten des ALIE-Angriffs und wendet kleine, konsistente Störungen ($z_1$) über den Großteil der Parameter an.
   • Sie ist darauf ausgelegt, indexweise Ausreißererkennung zu umgehen und Fehler über die Zeit zu akkumulieren, ohne geometrisch abstandsbasierte Verteidigungen auszulösen.

Die hybride Strategie:
Das finale adversarische Update ist die Summe dieser beiden Komponenten: $\Delta_t = \Delta_{1,t} + \Delta_{2,t}$.

• Statisch vs. Dynamisch: Die Autoren führen sowohl eine statische Version (feste Skalierungskoeffizienten) als auch eine Dynamic HSA (DHSA) ein, bei der der Skalierungskoeffizient für den verdeckten Anteil in jeder Iteration optimiert wird, um die Störung zu maximieren und gleichzeitig innerhalb der Erkennungsschwelle des Aggregators zu bleiben.
• Schichtweise Einschränkungen: Um zu verhindern, dass der Angriff durch eine ungleichmäßige Verteilung der Störungen sichtbar wird (z. B. übermäßige Konzentration auf Fully-Connected-Schichten), legen die Autoren während des Maskengenerierungsprozesses schichtweise Sparsity-Einschränkungen auf. Dies gewährleistet eine gleichmäßigere Verteilung der nicht-null Störungen über die Netzwerktopologie hinweg.

Hauptbeiträge

1. Architekturbewusstes Angriffsdesign: Diese Arbeit ist die erste, die die architektonischen Merkmale des Ziel-NN explizit ausnutzt (insbesondere die Identifizierung sensibler Gewichte durch Pruning), um das Design byzantinischer Angriffe zu steuern.
2. Hybrider Sparse-Angriff (HSA): Die Einführung einer dual-komponentigen Angriffsstrategie, die gleichzeitig Schwachstellen in indexweisen statistischen Verteidigungen (durch die dichte Komponente) und in geometrisch abstandsbasierten Verteidigungen (durch die spärliche, hochmagnitudige Komponente) angreift.
3. Schichtweise Sparsity-Einschränkungen: Der Nachweis, dass die Durchsetzung von Einschränkungen für die Verteilung spärlicher Masken über spezifische Netzschichten hinweg (z. B. Begrenzung der Sparsity in Fully-Connected-Schichten) die Angriffsrobustheit gegenüber gestaffelten Verteidigungsmechanismen wie GAS erheblich verbessert.
4. Umfassende Evaluierung: Umfassende Simulationen über verschiedene NN-Architekturen (ResNet-20, CNN, MLP), Datensätze (CIFAR-10, F-MNIST, MNIST) und Datenverteilungen (IID und non-IID) gegen acht state-of-the-art Verteidigungsmechanismen.

Experimentelle Ergebnisse

Die vorgeschlagenen HSA- und DHSA-Frameworks wurden gegen robuste Aggregatoren evaluiert, darunter Bulyan, Centered Clipping (CC), Coordinate-wise Median (CM), Multi-Krum, Robust Federated Averaging (RFA), Trimmed Mean (TM) und GAS.

• Leistung in IID-Szenarien:

  • HSA reduzierte die Testgenauigkeit auf bis zu 15,5 % gegen M-Krum und 39,6 % gegen CC und übertraf damit Baseline-Angriffe wie ALIE (das gegen M-Krum ~55 % erreichte) signifikant.
  • Die dynamische Version (DHSA) erzielte die beste Gesamtleistung und reduzierte die durchschnittliche Testgenauigkeit über alle acht Aggregatoren hinweg auf unter 38 %, wobei der bestperformende Aggregator unter 55 % gehalten wurde.

• Leistung in Non-IID-Szenarien:

  • Der Angriff war in heterogenen Datenszenarien noch effektiver. HSA mit schichtweisen Einschränkungen führte in vielen Fällen dazu, dass das globale Modell vollständig divergierte und die Testgenauigkeit im Durchschnitt auf 9,2 % sank.
  • Gegen spezifische Aggregatoren wie TM und RFA reduzierte der Angriff die Genauigkeit auf 10 % (Niveau des zufälligen Rätens).

• Vergleich mit anderen Angriffen:

  • HSA übertraf oder entsprach konsistent die bestperformierenden bestehenden Angriffe (ALIE, ROP, Min-Sum, Min-Max) über alle getesteten Verteidigungsmechanismen hinweg.
  • Die Studie hebt hervor, dass statische Angriffe gegen bestimmte Verteidigungen zwar Schwierigkeiten haben, die dynamische Anpassung der Skalierungskoeffizienten in DHSA es jedoch ermöglicht, diese effektiv zu umgehen.

Bedeutung und Behauptungen

Die Arbeit behauptet zu zeigen, dass strikte Unmerklichkeit nicht immer notwendig ist, damit ein Vergiftungsangriff effektiv ist. Durch den Tausch eines geringen Grades an Unmerklichkeit gegen eine signifikant erhöhte Störungsstärke bei sensiblen, architekturspezifischen Gewichten erreicht der Angriff einen überlegenen Kompromiss.

Die Autoren betonen, dass aktuelle Verteidigungsmechanismen anfällig sind, weil sie Modell-Updates als Black-Box-Vektoren behandeln und die interne Topologie des neuronalen Netzwerks ignorieren. Indem sie aufzeigen, dass Seiteninformationen über die Netzarchitektur (insbesondere die aus Pruning abgeleitete Gewichtsempfindlichkeit) genutzt werden können, um „stärkere, aber weniger wahrnehmbare" Angriffe zu konstruieren, unterstreicht die Arbeit eine kritische Lücke in der aktuellen FL-Sicherheitsforschung.

Die Arbeit kommt zu dem Schluss, dass ein universell effektiver byzantinischer Angriff durch die Kombination orthogonaler Strategien (spärliche Aggression und dichte Verdecktheit) und die Nutzung architektonischer Priors erreichbar ist. Dies stellt die Annahme in Frage, dass bestehende robuste Aggregatoren ausreichende Sicherheit bieten, und fordert weitere Forschung zu Verteidigungen, die die strukturellen Eigenschaften der Modelle, die sie schützen, berücksichtigen.