Protecting Models and Data in Federated and Centralized Learning

Author

Jebreel, Najeeb Moharram Salim

Director

Domingo Ferrer, Josep

Codirector

Sánchez Ruenes, David

Date of defense

2023-07-04

Pages

268 p.



Department/Institute

Universitat Rovira i Virgili. Departament d'Enginyeria Informàtica i Matemàtiques

Abstract

L'aprenentatge federat (AF) permet aprendre un model global d'aprenentatge automàtic a partir de dades distribuïdes entre un conjunt de participants, reduint el cost computacional d'entrenament pel servidor, millorant la precisió i mantenint la privacitat. No obstant, l'AF és vulnerable a atacs de seguretat i privacitat per part de participants maliciosos, el que requereix defenses efectives. Les defenses existents són costoses o poc efectives, mentre que defensar-se contra atacs a la privacitat distorsionant actualitzacions compromet la precisió del model, i agregar actualitzacions compromet la seguretat. L'AF comparteix vulnerabilitats amb l'aprenentatge centralitzat i el robatori o mal ús de models representa una amenaça per a la propietat intel·lectual. Es proposen tres defenses contra enverinament i una defensa completa contra atacs d'enverinament i privacitat a l'AF, que inclouen l'anàlisi de biaixos, LFighter, FLDefender i AF fragmentat. També es proposen dues defenses contra atacs per la porta del darrere i robatoris de models, que inclouen l'anàlisi de característiques per capes i KeyNet. Resultats experimentals demostren l'efectivitat d'aquestes defenses en millorar la seguretat i privacitat de l'aprenentatge automàtic.


El aprendizaje federado permite crear un modelo global a partir de datos distribuidos entre varios participantes coordinados por un servidor. Aunque esto reduce el coste computacional y mejora la privacidad, también lo hace vulnerable a ataques que comprometen la seguridad y privacidad de los datos. Por tanto, en esta tesis se proponen varias defensas, incluyendo un método para neutralizar ataques de envenenamiento de forma eficiente, un sistema que extrae características relevantes para contrarrestar ataques dirigidos y un enfoque de aprendizaje fragmentado para preservar la privacidad y la precisión. Además, se proponen dos defensas más contra ataques por la puerta de atrás y robo de modelos. Los resultados experimentales con conjuntos de datos reales demuestran la efectividad de estas defensas para hacer el aprendizaje automático más seguro y privado.


Federated Learning (FL) is a technique that enables a global machine learning model to be learned from data that is distributed among participating peers, coordinated by a server. FL offers several benefits, including reduced computation costs, the ability to train more accurate models, and improved privacy. However, FL is vulnerable to various security and privacy attacks due to its distributed nature. To address this, this thesis proposes four defenses against poisoning and privacy attacks in the FL paradigm, including a method to neutralize Byzantine poisoning attacks, a technique to extract relevant gradients to counter label-flipping attacks, a method to mitigate targeted poisoning attacks, and fragmented federated learning to balance security, privacy, and accuracy. In addition, the thesis proposes two more defenses against backdoor and model stealing attacks that can be used in both federated and centralized learning. Experimental results demonstrate the effectiveness of these defenses in making machine learning more secure and private.

Keywords

Aprenentatge federat; Atacs a la privadesa; Atacs a la seguretat; Aprendizaje federado; Ataques a la privacidad; Ataques a la seguridad; Federated learning; Privacy attacks; Security attacks

Subjects

004 - Computer science; 62 - Engineering

Knowledge Area

Ciències

Documents

TESI Najeeb Moharram Salim Jebreel.pdf

19.59Mb

 

Rights

ADVERTIMENT. L'accés als continguts d'aquesta tesi doctoral i la seva utilització ha de respectar els drets de la persona autora. Pot ser utilitzada per a consulta o estudi personal, així com en activitats o materials d'investigació i docència en els termes establerts a l'art. 32 del Text Refós de la Llei de Propietat Intel·lectual (RDL 1/1996). Per altres utilitzacions es requereix l'autorització prèvia i expressa de la persona autora. En qualsevol cas, en la utilització dels seus continguts caldrà indicar de forma clara el nom i cognoms de la persona autora i el títol de la tesi doctoral. No s'autoritza la seva reproducció o altres formes d'explotació efectuades amb finalitats de lucre ni la seva comunicació pública des d'un lloc aliè al servei TDX. Tampoc s'autoritza la presentació del seu contingut en una finestra o marc aliè a TDX (framing). Aquesta reserva de drets afecta tant als continguts de la tesi com als seus resums i índexs.

This item appears in the following Collection(s)