Amenazas y vulnerabilidades en el aprendizaje federado

Requisitos previos –   Aprendizaje colaborativo – Aprendizaje federado , Google Cloud Platform – Comprensión del aprendizaje federado en la nube

En este artículo, aprenderemos a revisar qué es el aprendizaje federado y sus ventajas sobre los algoritmos de aprendizaje automático convencionales. En la última parte, intentemos comprender las amenazas y vulnerabilidades en la arquitectura de aprendizaje federado en términos simples. 

El Aprendizaje Federado y sus ventajas:

Tomemos un ejemplo para entender cómo funciona la arquitectura FL, digamos que hay una red de dispositivos IoTque envían datos a un servidor centralizado que usa los datos para entrenar un modelo y hacer predicciones. ¿Qué pasa si estos datos que se transmiten a través de la red son confidenciales y podrían usarse para manipular algunas decisiones importantes? Aquí es donde la arquitectura FL podría ser útil. Como usamos dispositivos IoT, podemos integrarlos con un poco más de inteligencia para entrenar el modelo por sí mismos, pero podría haber un problema si es solo un dispositivo independiente, es posible que no esté expuesto a distribuciones amplias de datos para entrenar el modelo, ¿y qué? lo que podemos hacer es que una vez que los dispositivos entrenan un modelo básico, los parámetros del modelo se envían al servidor para su agregación y este modelo agregado se envía de regreso a todos los dispositivos para hacer mejores predicciones, incluso si los parámetros del modelo se filtran, hay muy pocas posibilidades de inferir algo a partir de esos parámetros. De este modo,

La definición formal de FL: «El aprendizaje federado es una técnica de aprendizaje automático que entrena un algoritmo a través de múltiples dispositivos de borde descentralizados o servidores que contienen muestras de datos locales, sin intercambiarlos». La idea básica de la arquitectura FL que vimos en el ejemplo no es un método infalible y la arquitectura en sí tiene algunas fallas y vulnerabilidades que nos presentan algunos problemas de seguridad desafiantes con los que lidiar. Veamos algunos modelos de amenazas y ataques de envenenamiento en breve y en términos simples. Comprender estos modelos y ataques podría ayudarnos a diseñar un protocolo FL infalible que preserve la privacidad.

Modelos de amenazas:

• Ataque interno contra ataque externo: un ataque interno se refiere a un ataque realizado por un interno, es decir. el servidor o cualquiera de sus clientes, mientras que un ataque externo es lanzado por un extraño como, por ejemplo, un pirata informático con intenciones maliciosas que escucha a escondidas el canal de comunicación entre el servidor y los clientes. Los ataques internos generalmente son más dañinos y adversos que los ataques externos porque tienen más control sobre la arquitectura FL. Algunos tipos comunes de ataques internos son los siguientes:
  • Ataque único: un solo cliente FL malicioso hace que el modelo pierda la clasificación con una alta probabilidad.
  • Ataque bizantino: este ataque es similar al ataque simple pero aquí el cliente se comporta de manera arbitraria, lo que dificulta saber si el modelo que se envía es genuino.
  •  Ataque Sybil: aquí el atacante simula múltiples clientes FL falsificados y proporciona parámetros corruptos y monta ataques más poderosos.
•  Ataque semihonesto Vs ataque malicioso: en un entorno semihonesto, el atacante se denomina semihonesto porque sigue el protocolo FL pero intenta acceder a los estados restringidos (como los parámetros del modelo) de un cliente honesto y también se quedan. pasiva pero sin contribuir a la arquitectura. Mientras que en caso de un ataque malicioso, el atacante se desvía arbitrariamente del protocolo FL e intenta acceder, modificar y manipular los datos de entrenamiento locales del cliente honesto.
• Fase de entrenamiento frente a fase de inferencia: los ataques en la fase de entrenamiento tienden a influir y corromper el modelo FL, intentan envenenar los datos y comprometer la integridad del conjunto de datos de entrenamiento y también intentan envenenar el modelo para interrumpir el proceso de aprendizaje. En el caso de los ataques de fase de inferencia, no dañan el modelo ni los datos, sino que hacen que el modelo produzca resultados incorrectos y recopile las características del modelo, lo que compromete la privacidad.

Ataques de envenenamiento:

Los ataques de envenenamiento dependen del objetivo del atacante, pueden lanzar un ataque aleatorio o atacar a un objetivo específico. En los ataques aleatorios, su objetivo es reducir la precisión del modelo FL y, en el caso de ataques dirigidos, su objetivo es influir en el modelo para generar etiquetas incorrectas, es decir. las etiquetas intencionadas por el atacante y generalmente tienen un objetivo específico que alcanzar. Los ataques de envenenamiento pueden ocurrir de dos maneras, envenenamiento de datos (durante la recopilación de datos locales) y envenenamiento de modelos (durante el proceso de entrenamiento del modelo). 

• Envenenamiento de datos: aquí el atacante corrompe/cambia las etiquetas de los datos y también puede intentar modificar las características individuales o pequeñas partes de los datos de entrenamiento. Este ataque generalmente lo llevan a cabo los clientes/participantes de FL y el impacto depende de la medida en que se involucren los participantes de FL.
•  Envenenamiento del modelo: aquí el atacante tiene como objetivo envenenar las actualizaciones del modelo local antes de enviarlas al servidor o el atacante también puede intentar insertar una puerta trasera en el modelo global para corromperlo. El envenenamiento de modelos tiene más impacto en comparación con el envenenamiento de datos, ya que ajustar el modelo cambia por completo sus características y, por lo tanto, clasifica erróneamente los datos. Estos ataques tienen más impacto cuando el atacante intenta escapar de ser detectado utilizando una estrategia de minimización alterna para optimizar alternativamente la pérdida de entrenamiento.