Protecting Models and Data in Federated and Centralized Learning

Abstract

L'aprenentatge federat (AF) permet aprendre un model global d'aprenentatge automàtic a partir de dades distribuïdes entre un conjunt de participants, reduint el cost computacional d'entrenament pel servidor, millorant la precisió i mantenint la privacitat. No obstant, l'AF és vulnerable a atacs de seguretat i privacitat per part de participants maliciosos, el que requereix defenses efectives. Les defenses existents són costoses o poc efectives, mentre que defensar-se contra atacs a la privacitat distorsionant actualitzacions compromet la precisió del model, i agregar actualitzacions compromet la seguretat. L'AF comparteix vulnerabilitats amb l'aprenentatge centralitzat i el robatori o mal ús de models representa una amenaça per a la propietat intel·lectual. Es proposen tres defenses contra enverinament i una defensa completa contra atacs d'enverinament i privacitat a l'AF, que inclouen l'anàlisi de biaixos, LFighter, FLDefender i AF fragmentat. També es proposen dues defenses contra atacs per la porta del darrere i robatoris de models, que inclouen l'anàlisi de característiques per capes i KeyNet. Resultats experimentals demostren l'efectivitat d'aquestes defenses en millorar la seguretat i privacitat de l'aprenentatge automàtic.

El aprendizaje federado permite crear un modelo global a partir de datos distribuidos entre varios participantes coordinados por un servidor. Aunque esto reduce el coste computacional y mejora la privacidad, también lo hace vulnerable a ataques que comprometen la seguridad y privacidad de los datos. Por tanto, en esta tesis se proponen varias defensas, incluyendo un método para neutralizar ataques de envenenamiento de forma eficiente, un sistema que extrae características relevantes para contrarrestar ataques dirigidos y un enfoque de aprendizaje fragmentado para preservar la privacidad y la precisión. Además, se proponen dos defensas más contra ataques por la puerta de atrás y robo de modelos. Los resultados experimentales con conjuntos de datos reales demuestran la efectividad de estas defensas para hacer el aprendizaje automático más seguro y privado.

Federated Learning (FL) is a technique that enables a global machine learning model to be learned from data that is distributed among participating peers, coordinated by a server. FL offers several benefits, including reduced computation costs, the ability to train more accurate models, and improved privacy. However, FL is vulnerable to various security and privacy attacks due to its distributed nature. To address this, this thesis proposes four defenses against poisoning and privacy attacks in the FL paradigm, including a method to neutralize Byzantine poisoning attacks, a technique to extract relevant gradients to counter label-flipping attacks, a method to mitigate targeted poisoning attacks, and fragmented federated learning to balance security, privacy, and accuracy. In addition, the thesis proposes two more defenses against backdoor and model stealing attacks that can be used in both federated and centralized learning. Experimental results demonstrate the effectiveness of these defenses in making machine learning more secure and private.