Federated learning, where multiple clients learn a common model by sharing only model update rather than sharing data, is increasingly used for collaboration between organizations or businesses because it can solve legal and ethical issues related to privacy. However, since it is impossible to check each other's data, there is a disadvantage that it is difficult to check whether some clients are attackers. In this regard, various attack methods that damage the global model have been proposed. We propose a concept of greedy attacker who wants to get a good model while harming other clients by attacking the global model in federated learning. Since the same global model is transmitted to all clients due to the principle of operation of federated learning, a new way is needed for the greedy attackers to circumvent the tainted global model to get his own good model in the federated learning environment. We propose an attack and rebuild method using gradient projection as a method that can be utilized by greedy attackers. Therefore, we propose an attack and rebuild method as a method for attackers to achieve these two goals in a federated learning environment. The greedy attacker not only conducts the existing poisoning attack, but also infers the contributions of other clients from the damaged model, and then transforms it through the gradient projection method, which is used to rebuild the undamaged model which performs better than both the damaged model and the model trained only by attackers. Through image classification experiments in various settings, the rebuilt model achieved the maximum performance of 94.4% of the Oracle model that can be created by cooperation of all participants, and up to 57.8% increased performance compared to the damaged model.
여러 클라이언트들이 서버로 데이터를 전송하지 않고 모델 업데이트 값만 전송하여 공통의 모델을 학습하고자 하는 연합학습은 개인정보보호와 관련된 법적, 윤리적 문제를 해결할 수 있어 기관들 또는 사업간의 협업에 점차 많이 사용되고 있다. 그러나 서로 데이터를 확인할 수 없기 때문에 일부 클라이언트가 공격자여도 이를 확인하기가 어렵다는 단점이 있고, 이와 관련하여 글로벌 모델을 손상시키는 여러가지 공격 방식들이 제안되었다. 본 논문에서는 연합학습에서 모델을 공격하여 다른 클라이언트에게 피해를 끼침과 동시에 자신만 좋은 모델을 얻고자 하는 탐욕적 공격자라는 개념을 새로이 제시한다. 연합학습의 동작 원리상 모든 클라이언트에게 똑같은 글로벌 모델이 전송되기 때문에 탐욕적 공격자가 연합학습 환경에서 자신만 좋은 모델을 억기 위해서는 새로운 방식이 필요하다. 본 논문은 탐욕적 공격자가 활용할 수 있는 방안으로 경사 투영법을 이용한 공격과 재건 방식을 제안한다. 탐욕적 공격자는 기존에 제안되었던 포이즈닝 공격을 할 뿐만 아니라 손상된 모델로부터 다른 클라이언트의 기여분을 유추한 뒤 경사 투영법을 통한 변환을 통해 온전한 모델의 학습에 이용한다. 이를 통해 손상된 모델 뿐만 아니라 공격자들끼리만 연합하여 만들 수 있는 모델보다 더 좋은 성능의 재건된 모델을 얻을 수 있다. 다양한 세팅에서의 이미지 분류 실험 결과, 경사 투영법을 통해 재건된 모델이 모든 참여자가 협력한다는 가정하에 만들 수 있는 오라클 모델의 최대 94.4% 성능을 달성하였고, 손상된 모델 대비 최대 57.8%의 성능 향상을 달성하였다.