Wavelet Scattering Transform and Fourier Representation for Offline Detection of Malicious Clients in Federated Learning

Il paper presenta WAFFLE, un algoritmo di rilevamento pre-addestramento per l'Apprendimento Federato che identifica i client dannosi utilizzando rappresentazioni compresse basate sulla Trasformata Scattering Wavelet o sulla Trasformata di Fourier, garantendo privacy e riducendo l'overhead computazionale.

L'essenziale

Immagina di voler costruire un muro di mattoni perfetto insieme a 100 amici. Ognuno di voi ha un mucchio di mattoni (i dati) e deve inviarne alcuni per aiutare a costruire il muro finale (il modello di Intelligenza Artificiale). Questo è il Federated Learning: tutti collaborano senza mostrare i propri mattoni privati, mantenendo la privacy.

Il problema? Tra i 100 amici, ce ne sono alcuni che:

1. Hanno mattoni rotti o sporchi (sensori difettosi).
2. Hanno mattoni dipinti di colori assurdi per confondere il muro (attacchi maliziosi).
3. Hanno mattoni così sfocati che non si vede nulla (dati offuscati).

Se mescoli questi mattoni cattivi con quelli buoni, il muro crollerà o sarà brutto. Di solito, si cerca di riparare il muro mentre lo si costruisce, ma è lento e costoso.

La Soluzione: "Waffle" (Il Controllo di Sicurezza)

Gli autori di questo articolo hanno inventato un sistema chiamato Waffle (un gioco di parole tra "Waffle" e "Wavelet/Fourier"). Immagina Waffle come un controllore di sicurezza molto intelligente che lavora prima che la costruzione inizi.

Ecco come funziona, passo dopo passo, con delle analogie semplici:

1. Non guarda i mattoni, guarda l'"Ombra"

Il problema è che il controllore non può guardare i mattoni privati di ogni amico (sarebbe una violazione della privacy).
Invece, chiede a ogni amico di creare una "firma sonora" o un "ritratto stilizzato" dei propri mattoni.

• L'analogia: Immagina di non poter vedere il volto di una persona, ma di poter ascoltare la sua voce o vedere la sua ombra proiettata al muro. Anche se non vedi i dettagli del viso, l'ombra rivela se la persona è alta, bassa, o se sta camminando in modo strano.

2. Due tipi di "Lenti Magiche"

Per creare queste ombre, Waffle usa due strumenti matematici speciali:

• La Lente Fourier (FT): È come un prisma che scompone la luce. Se un amico ha mattoni "rumorosi" (sporchi), la sua firma sonora avrà un fruscio strano. Se ha mattoni "sfocati", la sua firma sembrerà ovattata.
• La Lente Wavelet (WST): Questa è la super-lente preferita dagli autori. È come un microscopio che vede le texture. Se un amico ha un'immagine sfocata o con dei buchi, la lente Wavelet nota immediatamente che la "texture" è sbagliata, anche se l'immagine sembra normale a occhio nudo. Inoltre, questa lente è inviolabile: non puoi ricostruire i mattoni originali partendo dalla firma, quindi la privacy è al 100% sicura.

3. L'Allenamento "Finto"

Prima di incontrare i veri amici, il controllore Waffle si allena in una stanza segreta.

• L'analogia: Immagina un allenatore di calcio che crea 1000 partite finte in laboratorio. Mette dei giocatori "cattivi" (con dati rotti) e dei "buoni". Impara a riconoscere le loro "ombre" (le firme).
• Una volta addestrato, il controllore è pronto. Non ha bisogno di vedere i dati reali, sa già riconoscere l'ombra di un "mattonaio" che sta cercando di sabotare il lavoro.

4. Il Risultato: Un Muro Perfetto

Quando arriva il momento della vera costruzione:

1. Ogni amico invia solo la sua "firma" (piccola e sicura).
2. Il server controlla: "Questa firma sembra quella di un amico con mattoni rotti?"
3. Se sì, lo esclude immediatamente. Non partecipa alla costruzione.
4. Se no, entra nel gruppo.

Perché è così geniale?

• È veloce: Non aspetta che il muro crolli per capire chi è il colpevole. Lo caccia via prima che inizi a posare il primo mattone.
• È resistente: Funziona anche se il 90% degli amici è cattivo! La maggior parte dei sistemi attuali fallisce se ci sono troppi "cattivi", ma Waffle è così bravo a leggere le "ombre" che li individua comunque.
• Funziona ovunque: Lo hanno testato non solo con le immagini (come foto di gatti o auto), ma anche con il testo (come recensioni di film), dimostrando che è un metodo universale.

In sintesi

Waffle è come un detective privato che, prima di una grande festa, controlla le impronte digitali degli invitati. Se qualcuno ha le impronte sporche o strane (dati corrotti), non lo fa entrare, anche se porta un invito. In questo modo, la festa (l'Intelligenza Artificiale) procede senza intoppi, è più veloce e il risultato finale è molto migliore.

Il nome "Waffle" è simpatico, ma il concetto è serio: è un nuovo modo per proteggere l'Intelligenza Artificiale collettiva, rendendola più sicura, veloce e affidabile, specialmente nei dispositivi intelligenti (come le auto a guida autonoma o gli ospedali connessi) dove non ci si può permettere errori.

Sommario tecnico

Ecco una sintesi tecnica dettagliata del paper "Wavelet Scattering Transform and Fourier Representation for Offline Detection of Malicious Clients in Federated Learning" (progetto Waffle), redatta in italiano.

1. Il Problema: Vulnerabilità nel Federated Learning (FL)

Il Federated Learning (FL) permette di addestrare modelli di machine learning su dispositivi decentralizzati (IoT) senza condividere i dati grezzi, preservando la privacy. Tuttavia, questo paradigma è vulnerabile alla presenza di clienti maliziosi o difettosi (es. sensori malfunzionanti o dispositivi compromessi).

• Sfida principale: I dati di questi clienti possono essere perturbati (rumore, sfocatura, manipolazioni) degradando le prestazioni del modello globale.
• Limiti delle soluzioni attuali:
  • Le tecniche di aggregazione robusta (es. Krum, Trimmed Mean) agiscono durante l'addestramento ma spesso falliscono se la maggioranza dei clienti è maliziosa o se le perturbazioni sono sottili.
  • I rilevatori online (che analizzano gli aggiornamenti del modello) introducono un elevato overhead computazionale e di comunicazione, spesso rilevando le minacce solo dopo che il danno è iniziato.
  • La necessità di accedere ai dati grezzi per l'analisi viola la privacy.

2. Metodologia: L'Algoritmo Waffle

Gli autori propongono Waffle (Wavelet and Fourier representations for Federated Learning), un algoritmo di rilevamento offline che identifica ed esclude i clienti maliziosi prima dell'inizio dell'addestramento federato.

A. Concetto Chiave: Rappresentazioni Spettrali Comprese

Invece di inviare dati grezzi o gradienti, ogni client calcola localmente una rappresentazione spettrale compressa e non invertibile dei propri dati. Il server utilizza queste rappresentazioni per classificare i clienti come "benigni" o "maliziosi".
Vengono confrontate due trasformate:

1. Trasformata di Fourier (FT): Lineare, efficiente, ma invertibile (rischio privacy) e meno robusta a deformazioni locali.
2. Trasformata a Scattering Wavelet (WST): Non lineare, non invertibile (maggiore privacy), stabile rispetto a piccole deformazioni e traslazioni, e capace di catturare strutture locali e texture.

B. Fasi del Processo

1. Addestramento Offline del Rilevatore (Server-side):

   • Il server utilizza un dataset pubblico distillato ($D_{aux}$) per simulare scenari di attacco.
   • Vengono generati client finti con dati "puliti" o perturbati (rumore additivo o sfocatura/blur).
   • Per ogni client simulato, si estraggono feature spettrali (FT o WST) applicate a statistiche locali (ottenute tramite PCA sui dati simulati).
   • Un classificatore leggero viene addestrato per distinguere le rappresentazioni dei client benigni da quelle degli attaccanti.

2. Rilevamento e Filtraggio (Pre-FL):

   • Prima dell'addestramento FL, ogni client reale calcola la propria rappresentazione spettrale ($\phi_k$) sui propri dati locali.
   • Il client invia solo $\phi_k$ (un vettore a bassa dimensionalità) al server.
   • Il server classifica il client. Se etichettato come malizioso, viene escluso dal processo di aggregazione.

3. Contributi Chiave

• Nuovo Approccio Offline: Introduzione di un rilevatore pre-addestrato che opera prima dell'addestramento FL, riducendo l'overhead e prevenendo l'avvelenamento iniziale.
• Utilizzo della WST nel FL: Prima applicazione della Wavelet Scattering Transform per il rilevamento di anomalie nei dati client nel contesto federato. La WST offre vantaggi teorici di stabilità e privacy (non invertibilità) superiori alla FT.
• Garanzie Teoriche: Dimostrazione matematica che rimuovere i clienti maliziosi riduce la varianza dell'estimatore globale e lo rende non distorto (unbiased) rispetto alla distribuzione dei dati benigni, migliorando la convergenza.
• Indipendenza dal Modello: Il metodo è agnostico rispetto all'architettura del modello FL e può essere combinato con qualsiasi algoritmo di aggregazione robusta.

4. Risultati Sperimentali

Gli esperimenti sono stati condotti su dataset benchmark (FashionMNIST, CIFAR-10, CIFAR-100) e un task NLP.

• Prestazioni di Rilevamento:
  • La variante WST supera costantemente la FT, raggiungendo una precisione del 100% anche in scenari estremi con il 90% di clienti maliziosi.
  • La WST è particolarmente efficace nel distinguere attacchi di tipo "sfocatura" e "rumore" grazie alla sua capacità di catturare le texture locali.
• Prestazioni del Modello Globale:
  • L'uso di Waffle (con WST) combinato con FedAvg ripristina le prestazioni del modello vicine a quelle di un addestramento su dati completamente puliti, superando di gran lunga le tecniche di aggregazione robusta standard (Krum, Trimmed Mean) quando applicate senza pre-filtraggio.
  • In un attacco "Random Block" (non Gaussiano, con blocchi di pixel neri), WST mantiene un'alta accuratezza, dimostrando robustezza anche contro attacchi strutturali complessi.
• Validazione NLP:
  • Applicato a un task di classificazione del sentiment (NLP) con attacchi ibridi (permutazione + rumore), Waffle ha recuperato l'accuratezza da 38% a ~42.7%, avvicinandosi al caso ideale (44.8%).

5. Significato e Impatto

Il lavoro di Waffle rappresenta un passo avanti significativo per la sicurezza del Federated Learning, specialmente in contesti IoT con risorse limitate:

• Efficienza: Sposta il carico computazionale critico su un addestramento offline, minimizzando l'overhead durante le round di comunicazione FL.
• Privacy: L'uso di rappresentazioni non invertibili (WST) e statistiche aggregate riduce il rischio di fughe di dati rispetto all'invio di gradienti o dati grezzi.
• Stratificazione della Sicurezza: Waffle agisce come un primo strato di difesa proattivo ("sanitizzazione" del pool di client), che può essere integrato con difese online per creare un'architettura di sicurezza multilivello.
• Scalabilità: La capacità di funzionare anche quando la maggioranza dei partecipanti è ostile lo rende ideale per reti IoT su larga scala e decentralizzate dove la fiducia non può essere data per scontata.

In sintesi, Waffle dimostra che l'analisi spettrale avanzata (in particolare tramite Wavelet Scattering) applicata a rappresentazioni dati locali offre una soluzione efficace, privata ed efficiente per garantire l'integrità dei dati nel Federated Learning.