Aggressive or Imperceptible, or Both: Network Pruning Assisted Hybrid Byzantines in Federated Learning

Questo articolo introduce un attacco ibrido sparsa bizantino per l'apprendimento federato che combina la manipolazione dei parametri basata sulla sensibilità con un'avvelenamento a lenta accumulazione per aggirare efficacemente le difese più avanzate sfruttando l'architettura della rete neurale anziché affidarsi al rilevamento statistico degli outlier.

L'essenziale

Immagina un progetto artistico collaborativo massiccio, in cui migliaia di artisti (chiamati "clienti") cercano di dipingere insieme un unico capolavoro perfetto senza mostrare mai i propri schizzi privati a nessuno. Inviano i loro tratti di pennello a un curatore centrale (il "server"), che li mescola tutti insieme per creare la prossima versione del dipinto. Questo è l'Apprendimento Federato.

Il problema? Alcuni di questi artisti sono in realtà sabotatori (chiamati "Bizantini"). Vogliono rovinare il dipinto. Ma ecco il punto cruciale: il curatore non può controllare l'identità di ogni singolo artista, e gli artisti lavorano con stili e materiali diversi. Se i sabotatori semplicemente lanciassero vernice rossa brillante ovunque, il curatore li individueresti immediatamente e li caccerebbe.

Questo articolo introduce un nuovo modo subdolo per i sabotatori di rovinare il dipinto senza farsi scoprire. Lo chiamano Attacco Ibrido Sparsificato (HSA).

Ecco come funziona, scomposto in concetti semplici:

1. Il Vecchio Metodo: La "Pozione Lenta" vs. Il "Martello Grosso"

I precedenti sabotatori avevano due strategie principali, ma entrambe presentavano difetti:

• La Pozione Lenta (come ALIE): Facevano cambiamenti minuscoli, appena percettibili, al dipinto. Era molto difficile individuarli, ma il danno era lento e debole. Era come aggiungere una goccia di veleno a una zuppa gigante; la zuppa sapeva ancora per lo più bene.
• Il Martello Grosso: Facevano cambiamenti enormi e ovvi. Questo rovinava il dipinto velocemente, ma il curatore vedeva immediatamente le bandiere rosse e cacciava i sabotatori.

L'articolo sostiene che con i vecchi metodi non si possono avere sia velocità che furtività.

2. Il Nuovo Trucco: Il "Cecchino e il Fantasma"

Gli autori hanno realizzato che non tutte le parti del dipinto sono ugualmente importanti. Alcuni tratti di pennello (i pesi della rete neurale) sono critici per la struttura dell'immagine, mentre altri sono solo rumore di fondo. Hanno anche capito che se si interferisce con i giusti punti, non è necessario interferire con tutti di essi.

Il loro nuovo attacco combina due tattiche in una:

• Il Fantasma (La Parte Furtiva): Fanno cambiamenti minuscoli e invisibili alla maggior parte del dipinto. Questo mantiene il curatore con il pensiero: "Ehi, questo sembra normale".
• Il Cecchino (La Parte Aggressiva): Identificano i "livelli critici" specifici e più sensibili del dipinto (come gli occhi o il viso). Su questi punti specifici, applicano una quantità massiccia di danno.

L'Analogia: Immagina una guardia di sicurezza che controlla una folla.

• Se tutti nella folla indossano un cappello leggermente diverso, la guardia non riesce a capire chi è la spia.
• La parte "Fantasma" assicura che la spia si mescoli con l'atmosfera generale della folla.
• La parte "Cecchino" è la spia che scambia silenziosamente la pistola della guardia con una banana solo nel momento esatto in cui la guardia distoglie lo sguardo. Il resto dell'equipaggiamento della guardia sembra normale, quindi la guardia non sospetta nulla fino a quando non è troppo tardi.

3. Utilizzare la "Mappa" (Consapevolezza dell'Architettura)

La maggior parte degli attacchi precedenti era "cieca". Lanciavano vernice a caso, sperando di colpire qualcosa di importante.

Questo nuovo attacco è intelligente. Esamina la "mappa" della rete neurale (l'architettura). Sa esattamente quali livelli sono quelli "sensibili" (come i livelli completamente connessi alla fine della rete) e quali sono quelli "critici" (come la normalizzazione di batch).

• Utilizza una tecnica di potatura (solitamente usata per rendere l'IA più piccola e veloce) per trovare i punti più fragili nella rete.
• Concentra il suo danno "Cecchino" su questi punti fragili, mantenendo il resto della rete con aspetto "potato" e normale.

4. I Risultati: Un Capolavoro Trasformato in Macerie

Gli autori hanno testato questo metodo contro otto diversi "guardie di sicurezza" (meccanismi di difesa) che sono attualmente considerati i migliori al mondo.

• In un gruppo normale e organizzato (dati IID): Il loro attacco ha ridotto la qualità del dipinto finale fino al 55%.
• In un gruppo caotico e disordinato (dati Non-IID): L'attacco è stato così efficace da far crollare completamente il dipinto, con un'accuratezza che scendeva a circa il 10% (che è essenzialmente un'indovinata a caso).

Persino le guardie di sicurezza più avanzate, che di solito catturano i sabotatori cercando valori anomali statistici o misurando le distanze tra gli aggiornamenti, sono state ingannate. L'attacco era abbastanza forte da rompere il modello ma abbastanza "sparsificato" da nascondersi in piena vista.

La Conclusione

L'articolo afferma che i sistemi di sicurezza attuali per l'IA collaborativa sono vulnerabili perché non comprendono la struttura interna dell'IA che stanno proteggendo. Utilizzando la stessa "mappa" dell'IA per trovare i punti deboli e attaccarli chirurgicamente, i sabotatori possono essere sia aggressivi (causando danni massicci) che impercettibili (nascondendosi in piena vista).

Gli autori concludono che questa è la prima volta che un attacco ha utilizzato con successo l'architettura stessa della rete per guidare il proprio sabotaggio, creando una minaccia "universale" che funziona contro quasi ogni difesa conosciuta.

Sommario tecnico

Riepilogo Tecnico: Aggressivo, Impercettibile o Entrambi: Attacchi Bizantini Ibridi Consapevoli dell'Architettura nell'Apprendimento Federato

Enunciato del Problema

L'Apprendimento Federato (FL) consente l'addestramento collaborativo di modelli su clienti distribuiti senza condividere dati grezzi. Tuttavia, l'impossibilità di profilare e verificare ogni cliente su larga scala introduce una vulnerabilità di sicurezza critica: gli attacchi bizantini. Clienti malintenzionati possono inviare aggiornamenti di modelli avvelenati per degradare l'accuratezza del modello globale o causarne la divergenza.

I meccanismi di difesa esistenti si basano principalmente sul rilevamento degli outlier, trattando gli aggiornamenti maliziosi come anomalie statistiche basate su distanze geometriche o statistiche per indice. Queste difese spesso assumono che la struttura interna della rete neurale (NN) sia irrilevante per la strategia di attacco. Al contrario, le strategie di attacco esistenti (ad es. ALIE, IPM) ignorano tipicamente l'architettura specifica della NN target, concentrandosi invece sulla manipolazione statistica dei gradienti. Questo documento sostiene che le difese attuali sono vulnerabili perché non tengono conto della sensibilità di specifici pesi di rete e della struttura topologica del modello, permettendo agli attaccanti di creare perturbazioni sia altamente efficaci che difficili da rilevare.

Metodologia: Attacco Bizantino Ibrido Sparsamente (HSA)

Gli autori propongono un nuovo framework di attacco chiamato Attacco Bizantino Ibrido Sparsamente (HSA). A differenza dei metodi precedenti che sono "agnostici rispetto all'architettura", l'HSA sfrutta esplicitamente informazioni secondarie riguardanti l'architettura della NN per guidare la progettazione delle perturbazioni. L'attacco combina due componenti coordinate per bilanciare l'impercettibilità (evadere il rilevamento) e la forza (massimizzare il danno):

1. Componente Aggressiva Sparsa:

   • Questa componente mira a un piccolo sottoinsieme attentamente selezionato di parametri di rete (pesi) identificati come altamente sensibili alle perturbazioni.
   • Utilizza un framework di pruning di rete (specificamente l'algoritmo FORCE) per identificare questi pesi critici. Gli autori sostengono che, analogamente a come il pruning identifica pesi non essenziali, i pesi "sensibili" rimanenti sono gli obiettivi più impattanti per un attacco.
   • Concentrando un grande budget di perturbazione ($z_2$) su queste posizioni sparse, l'attacco ottiene un'alta perturbazione con una deviazione globale minima.

2. Componente Stealth Densa:

   • Questa componente imita il comportamento dell'attacco ALIE, applicando piccole perturbazioni coerenti ($z_1$) sulla maggior parte dei parametri.
   • È progettata per evadere il rilevamento degli outlier per indice e accumulare errore nel tempo senza attivare difese basate sulla distanza geometrica.

La Strategia Ibrida:
L'aggiornamento avversario finale è la somma di queste due componenti: $\Delta_t = \Delta_{1,t} + \Delta_{2,t}$.

• Statico vs Dinamico: Gli autori introducono sia una versione statica (coefficienti di scaling fissi) che un HSA Dinamico (DHSA), dove il coefficiente di scaling per la componente stealth è ottimizzato ad ogni iterazione per massimizzare la perturbazione rimanendo entro la soglia di rilevamento dell'aggregatore.
• Vincoli a Livello di Strato: Per impedire che l'attacco diventi visibile a causa di una distribuzione disomogenea delle perturbazioni (ad es. concentrarsi eccessivamente sugli strati Fully Connected), gli autori impongono vincoli di sparsità a livello di strato durante il processo di generazione della maschera. Questo garantisce una distribuzione più uniforme delle perturbazioni non nulle attraverso la topologia di rete.

Contributi Chiave

1. Progettazione di Attacchi Consapevoli dell'Architettura: Questo lavoro è il primo a sfruttare esplicitamente le caratteristiche architetturali della NN target (in particolare, l'identificazione di pesi sensibili tramite pruning) per guidare la progettazione degli attacchi bizantini.
2. Attacco Ibrido Sparsamente (HSA): L'introduzione di una strategia di attacco a due componenti che mira simultaneamente alle vulnerabilità nelle difese statistiche per indice (tramite la componente densa) e nelle difese basate sulla distanza geometrica (tramite la componente sparsa ad alta magnitudine).
3. Vincoli di Sparsità a Livello di Strato: La dimostrazione che l'imposizione di vincoli sulla distribuzione delle maschere sparse su strati di rete specifici (ad es. limitando la sparsità negli strati Fully Connected) migliora significativamente la robustezza dell'attacco contro meccanismi di difesa stratificati come GAS.
4. Valutazione Completa: Simulazioni estese su varie architetture NN (ResNet-20, CNN, MLP), dataset (CIFAR-10, F-MNIST, MNIST) e distribuzioni di dati (IID e non-IID) contro otto meccanismi di difesa all'avanguardia.

Risultati Sperimentali

I framework HSA e DHSA proposti sono stati valutati contro aggregatori robusti tra cui Bulyan, Centered Clipping (CC), Coordinate-wise Median (CM), Multi-Krum, Robust Federated Averaging (RFA), Trimmed Mean (TM) e GAS.

• Prestazioni in Ambienti IID:

  • L'HSA ha ridotto l'accuratezza di test fino a un minimo del 15,5% contro M-Krum e del 39,6% contro CC, superando significativamente gli attacchi di base come ALIE (che ha raggiunto circa il 55% contro M-Krum).
  • La versione dinamica (DHSA) ha ottenuto le prestazioni complessive migliori, riducendo l'accuratezza di test media su tutti gli otto aggregatori al di sotto del 38% e mantenendo l'aggregatore migliore al di sotto del 55%.

• Prestazioni in Ambienti Non-IID:

  • L'attacco è stato ancora più efficace in scenari di dati eterogenei. L'HSA con vincoli a livello di strato ha causato la divergenza completa del modello globale in molti casi, riducendo l'accuratezza di test a una media del 9,2%.
  • Contro aggregatori specifici come TM e RFA, l'attacco ha ridotto l'accuratezza al 10% (livello di indovinio casuale).

• Confronto con Altri Attacchi:

  • L'HSA ha costantemente superato o eguagliato gli attacchi esistenti migliori (ALIE, ROP, Min-Sum, Min-Max) su tutti i meccanismi di difesa testati.
  • Lo studio evidenzia che, mentre gli attacchi statici faticano contro certe difese, l'adattamento dinamico dei coefficienti di scaling nel DHSA permette di aggirarle efficacemente.

Significato e Affermazioni

Il documento afferma di dimostrare che la stretta impercettibilità non è sempre necessaria affinché un attacco di avvelenamento sia efficace. Sostituendo un piccolo grado di impercettibilità con una forza di perturbazione significativamente aumentata su pesi sensibili e specifici dell'architettura, l'attacco ottiene un compromesso superiore.

Gli autori sottolineano che i meccanismi di difesa attuali sono vulnerabili perché trattano gli aggiornamenti del modello come vettori black-box, ignorando la topologia interna della rete neurale. Rivelando che le informazioni secondarie sull'architettura di rete (in particolare, la sensibilità dei pesi derivata dal pruning) possono essere utilizzate per creare attacchi "più forti ma meno percettibili", il documento sottolinea una lacuna critica nella ricerca attuale sulla sicurezza FL.

Il lavoro conclude che un attacco bizantino universalmente efficace è ottenibile combinando strategie ortogonali (aggressione sparsa e stealth densa) e sfruttando prior architetturali. Ciò sfida l'assunzione secondo cui gli aggregatori robusti esistenti forniscono sicurezza sufficiente e invita a ulteriori ricerche su difese che tengano conto delle proprietà strutturali dei modelli che proteggono.