拓海先生、最近部下が「FLの防御に新しい手法が出ました」と言ってきて、バックドア攻撃だの方向だの聞いてもさっぱりです。これって要するに何が起きているんでしょうか。
素晴らしい着眼点ですね!まず大丈夫です、ゆっくり整理しましょう。要点は三つです。Federated Learning(FL、フェデレーテッドラーニング)では各社や端末が学習を分担するのですが、悪意ある更新が混ざると全体が特定の誤動作を学んでしまう可能性があるんです。
なるほど。で、今回の新しい防御手法というのは「方向」を見ると。方向って、要するに更新の傾向を見るということですか。
その通りです。平たく言えば、皆が平均して進んでいる向きと、個別の更新がどれだけ同じ向きかを調べるのです。ここで重要なのは粗い向きだけでなく、重要パラメータの符号(プラスかマイナスか)まで細かく比べる点です。
現場導入の観点で聞きたいのですが、それって計算コストや通信の面で現実的ですか。うちの現場は古い端末も多いんです。
良い質問です。要点を三つにまとめます。まず、サーバ側で受け取った更新の向きを計算するために余計な通信は発生しないこと。次に、符号の一致率を取る処理はパラメータのビット操作に似た軽い処理であり、計算負荷は限定的であること。最後に、攻撃の見落としによる被害コストを考えれば、やや計算を増やしても投資対効果は高い可能性があることです。
これって要するに、攻撃側の更新は全体と向きが違うから見分けられるということですか。それとももっと巧妙で、細かいところまで揃える攻撃への対策なんでしょうか。
良い観点です。単純な攻撃は向きで十分に見分けられますが、巧妙な攻撃は向きを似せてくることがあります。だから粗い向き(Cosine similarity)と、重要なパラメータの符号一致(sign alignment ratio)という二段構えで検査し、両方を満たさない更新を排除するのです。
分かりました。これなら導入のメリットが見えます。要するに、全体の流れと細部の一致を両方見ることで安全性を上げるということですね。自分の言葉で言うと、仲間全員が向かう方と同じかどうかを粗く確かめて、肝心なスイッチが逆になっていないかも確認する、ということですね。
