IEEE TRANSACTIONS ON INFORMATION FORENSICS AND SECURITY

FedDef: Robust Federated Learning-based Network Intrusion Detection Systems Against Gradient Leakage

• 好久没总结论文了

Summary

基于FL的NIDS

• 提出了两种隐私评估指标，基本都是针对FL的，论文里这里也是用了NIDS这个背景
• 利用重建攻击来回复训练数据
• 利用重建的数据使用GAN进行生成对抗攻击，评价其逃逸率

• 提出了基于优化的输入扰动的防御策略
• 理论保证：通过最小化梯度距离实现高效，通过最大化输入距离实现强隐私保护。

• 进行了大量的实验，一是证明了许多研究中的NIDS或者FedNIDS没有考虑到梯度泄露的问题，也没考虑到对抗攻击的问题。二是证明了本文提出的防御策略在精度损失很小的情况下实现比较好的隐私保护。

Framework

• 重构攻击
• 就是用伪造的数据的梯度通过优化不断接近于真是的梯度，这样优化后的fake data也会接近于真实的数据。

• Overview of FedDef
• FedDef的概述如图3所示。在联邦学习（左侧）中，本地用户首先从服务器下载最新的全局模型。在本地训练过程中，用户首先利用 FedDef 将自己的私有数据转换为伪数据，使数据不相似以保护隐私，而相应的梯度相似以保持 FL 模型性能。最后用户将伪数据生成的伪梯度代替原始梯度更新到服务器。右侧说明了对手操纵重建数据来攻击目标模型。对手首先利用重建攻击从梯度中恢复用户的私人训练数据和标签，然后使用 GAN 进行黑盒对抗攻击来逃避 DNN 模型或其他 NIDS（例如 Kitsune）。而我们的防御确保对手只能重建伪数据，这无助于 GAN 模型收敛，因此对抗性攻击失败。



• 那以后用训练好的模型测试新的数据的时候，是不是要把新的数据也经历向伪转换这一过程。

Method

• 方法就是上图中的过程

Optimization Design & Implementation

• Privacy Preserving

• Data Transformation

• Label Transformation

• Model Performance

• Data Initialization

• Vanishing Gradient

理论分析

• FedAvg

• Convergence Analysis

• Privacy Analysis

Experiment

Else