最先进的机器学习模型在大规模分布式集群上常规培训。粗略地,当一些计算设备表现出异常(拜占庭)行为并将任意结果返回到参数服务器(PS)时,这种系统可能会受到损害。此行为可能归因于多种原因,包括系统故障和策划攻击。现有工作表明强大的聚合和/或计算冗余,以减轻扭曲渐变的效果。然而,当对手知道任务任务时,大多数这些方案都无效,并且可以明智地选择攻击的工人来诱导最大损害。我们所提出的方法ASPIS使用基于子集的分配为工作节点分配梯度计算,该分配允许对工作节点的行为进行多个一致性检查。通过中央节点检查计算出的梯度和后处理(在适当构造的图中的Clique-Conceping)允许有效的检测和随后从训练过程中排除对手。在弱势和强劲的攻击下,我们证明了拜占庭的复原力和检测保证,并广泛评估了各种大规模培训场景的系统。我们的实验的主要指标是测试准确性,与CIFAR-10数据集上的许多最先进的方法相比,我们表现出约30%的显着提高。相应减少损坏梯度的分数范围为16%至99%。
translated by 谷歌翻译
大量的现代机器学习任务要求将大规模分布式簇作为训练管道的关键组成部分。但是,工人节点的异常拜占庭行为可能会使训练脱轨并损害推理的质量。这种行为可以归因于无意的系统故障或精心策划的攻击;结果,一些节点可能会将任意结果返回到协调培训的参数服务器(PS)。最近的工作考虑了广泛的攻击模型,并探索了强大的聚合和/或计算冗余以纠正扭曲的梯度。在这项工作中,我们考虑攻击模型从强大的攻击模型:$ q $无所不知的对手,对防御协议充分了解可以从迭代变为迭代变为弱者:$ q $随机选择的对手有限,勾结能力只会改变每一个,一次迭代很少。我们的算法依赖于冗余任务分配以及对抗行为的检测。对于强烈的攻击,我们证明,与先前的最新时间相比,扭曲梯度的比例从16 \%-99 \%降低。与最先进的攻击相比,我们在CIFAR-10数据集上的TOP-1分类准确性结果表明,在最复杂的攻击下,准确性(平均和弱方案平均)的优势(平均相对于强度和弱方案平均)。
translated by 谷歌翻译
许多深度学习领域都受益于使用越来越大的神经网络接受公共数据训练的培训,就像预先训练的NLP和计算机视觉模型一样。培训此类模型需要大量的计算资源(例如,HPC群集),而小型研究小组和独立研究人员则无法使用。解决问题的一种方法是,几个较小的小组将其计算资源汇总在一起并训练一种使所有参与者受益的模型。不幸的是,在这种情况下,任何参与者都可以通过故意或错误地发送错误的更新来危害整个培训。在此类同龄人的情况下进行培训需要具有拜占庭公差的专门分布式培训算法。这些算法通常通过引入冗余通信或通过受信任的服务器传递所有更新来牺牲效率,从而使它们无法应用于大规模深度学习,在该大规模深度学习中,模型可以具有数十亿个参数。在这项工作中,我们提出了一种新的协议,用于强调沟通效率的安全(容忍)分散培训。
translated by 谷歌翻译
SGD在分布式和多GPU系统上的实现创建了新的漏洞,可以通过一个或多个对抗代理来识别和滥用这些漏洞。最近,已经显示出众所周知的拜占庭式弹性梯度聚集方案确实容易受到可以定制攻击的知情攻击者的影响(Fang等,2020; Xie等,2020b)。我们介绍了Mixtailor,这是一种基于聚合策略的随机化计划,使攻击者无法充分了解。确定性方案可以直接将其集成到混合式尾勒中,而无需引入任何其他超参数。随机化降低了强大的对手来量身定制其攻击的能力,而随之而来的随机聚合方案在性能方面仍然具有竞争力。对于IID和非IID设置,我们建立了几乎确定的融合保证,这些保证既比文献中可用的融合更强大,更一般。我们在各种数据集,攻击和设置中进行的实证研究验证了我们的假设,并表明当知名的拜占庭耐受性计划失败时,Mixtailor会成功辩护。
translated by 谷歌翻译
联邦学习本质上很容易模拟中毒攻击,因为其分散性质允许攻击者参与受损的设备。在模型中毒攻击中,攻击者通过上传“中毒”更新来降低目标子任务(例如,作为鸟类的分类平面)模型的性能。在本报告中,我们介绍\ algoname {},这是一种使用全局Top-K更新稀疏和设备级渐变剪辑来减轻模型中毒攻击的新型防御。我们提出了一个理论框架,用于分析防御抗毒攻击的稳健性,并提供我们算法的鲁棒性和收敛性分析。为了验证其经验效率,我们在跨多个基准数据集中进行开放源评估,用于计算机愿景和联合学习。
translated by 谷歌翻译
使用多个计算节点通常可以加速在大型数据集上的深度神经网络。这种方法称为分布式训练,可以通过专门的消息传递协议,例如环形全部减少。但是,以比例运行这些协议需要可靠的高速网络,其仅在专用集群中可用。相比之下,许多现实世界应用程序,例如联合学习和基于云的分布式训练,在具有不稳定的网络带宽的不可靠的设备上运行。因此,这些应用程序仅限于使用参数服务器或基于Gossip的平均协议。在这项工作中,我们通过提出MOSHPIT全部减少的迭代平均协议来提升该限制,该协议指数地收敛于全局平均值。我们展示了我们对具有强烈理论保证的分布式优化方案的效率。该实验显示了与使用抢占从头开始训练的竞争性八卦的策略和1.5倍的加速,显示了1.3倍的Imagenet培训的加速。
translated by 谷歌翻译
许多组织使用配备有加速器的Compute集群,例如GPU和TPU,用于以分布式方式培训深入学习模型。培训是资源密集型的,消耗显着的计算,内存和网络资源。许多先前的作品探索如何减少培训资源占资源的占资源占用空间,而不会影响质量,但它们对瓶颈的子集(通常只有网络)限制了它们改善整体集群利用的能力。在这项工作中,我们利用深度学习工作负载的独特特征来提出结构化部分反向化(SPB),这是一种系统地控制分布式培训中个别工人的背包量的技术。这同时可以减少网络带宽,计算利用率和内存占用空间,同时保持模型质量。为了有效地利用SPB在集群层面的好处,我们介绍了一个SPB了解调度程序的jigsaw,它在深度学习培训(DLT)作业中进行迭代级别。我们发现拼图可以通过高达28 \%将大规模集群效率提高。
translated by 谷歌翻译
编码的计算技术为分布式计算中的贸易管理者提供鲁棒性。但是,大多数现有计划都需要精确地配置争吵行为,并忽略通过谋杀工人执行的计算。此外,这些方案通常被设计为准确地恢复所需的计算结果,而在许多机器学习和迭代优化算法中,已知更快的近似解决方案导致整体收敛时间的改善。在本文中,我们首先引入一种新的编码矩阵 - 向量乘法方案,称为组成的编码计算,其中部分恢复(CCPR),这有利于编码和未编码的计算方案的优点,并减少了计算时间和解码复杂度允许在准确性和计算速度之间进行权衡。然后,我们通过提出具有部分恢复的编码通信方案来扩展这种方法来分发更多一般计算任务,其中在传送之前编码由工人计算的子任务的结果。大型线性回归任务的数值模拟确认了所提出的分布式计算方案的优势,在计算准确性和延迟之间的权衡方面具有部分恢复。
translated by 谷歌翻译
由于其在广泛的协作学习任务中的成功,联邦学习框架的普及程度越来越多,也引起了有关学习模型的某些安全问题,因为恶意客户可能参与学习过程。因此,目的是消除恶意参与者的影响,并确保最终模型是可信赖的。关于拜占庭攻击的一个常见观察结果是,客户的模型/更新之间的差异越高,隐藏攻击的空间就越多。为此,最近已经表明,通过利用动量,从而减少了方差,可以削弱已知的拜占庭攻击的强度。居中的剪裁框架(ICML 2021)进一步表明,除了降低差异外,从上一个迭代中的动量项可以用作中和拜占庭式攻击并显示出对知名攻击的令人印象深刻的表现。但是,在这项工作的范围内,我们表明居中的剪裁框架具有某些漏洞,并且可以根据这些漏洞来修订现有的攻击,以规避居中的剪裁防御。因此,我们介绍了一种设计攻击的策略,以规避居中的剪裁框架,并通过将测试准确性降低到最佳场景中的5-40,从而在数值上说明了其针对中心剪裁的有效性以及其他已知的防御策略。
translated by 谷歌翻译
现代深度学习模型通常在分布式机器集合中并行培训,以减少训练时间。在这种情况下,机器之间模型更新的通信变成了一个重要的性能瓶颈,并且已经提出了各种有损的压缩技术来减轻此问题。在这项工作中,我们介绍了一种新的,简单但理论上和实践上有效的压缩技术:自然压缩(NC)。我们的技术分别应用于要进行压缩的更新向量的所有条目,并通过随机舍入到两个的(负或正)两种功能,可以通过忽略Mantissa来以“自然”方式计算。我们表明,与没有压缩相比,NC将压缩向量的第二刻增加不超过微小因子$ \ frac {9} {8} $,这意味着NC对流行训练算法的收敛速度的影响,例如分布式SGD,可以忽略不计。但是,NC启用的通信节省是可观的,导致$ 3 $ - $ 4 \ times $ $改善整体理论运行时间。对于需要更具侵略性压缩的应用,我们将NC推广到自然抖动,我们证明这比常见的随机抖动技术要好得多。我们的压缩操作员可以自行使用,也可以与现有操作员结合使用,从而产生更具侵略性的结合效果,并在理论和实践中提供新的最先进。
translated by 谷歌翻译
Adaptive attacks have (rightfully) become the de facto standard for evaluating defenses to adversarial examples. We find, however, that typical adaptive evaluations are incomplete. We demonstrate that thirteen defenses recently published at ICLR, ICML and NeurIPS-and which illustrate a diverse set of defense strategies-can be circumvented despite attempting to perform evaluations using adaptive attacks. While prior evaluation papers focused mainly on the end result-showing that a defense was ineffective-this paper focuses on laying out the methodology and the approach necessary to perform an adaptive attack. Some of our attack strategies are generalizable, but no single strategy would have been sufficient for all defenses. This underlines our key message that adaptive attacks cannot be automated and always require careful and appropriate tuning to a given defense. We hope that these analyses will serve as guidance on how to properly perform adaptive attacks against defenses to adversarial examples, and thus will allow the community to make further progress in building more robust models.
translated by 谷歌翻译
当前的深度神经网络(DNN)容易受到对抗性攻击的影响,在这种攻击中,对输入的对抗扰动可以改变或操纵分类。为了防御此类攻击,已证明一种有效而流行的方法,称为对抗性训练(AT),可通过一种最小的最大强大的训练方法来减轻对抗攻击的负面影响。尽管有效,但尚不清楚它是否可以成功地适应分布式学习环境。分布式优化对多台机器的功能使我们能够扩展大型型号和数据集的强大训练。我们提出了这一点,我们提出了分布式的对抗训练(DAT),这是在多台机器上实施的大批量对抗训练框架。我们证明DAT是一般的,它支持对标记和未标记的数据,多种类型的攻击生成方法以及梯度压缩操作的培训。从理论上讲,我们在优化理论中的标准条件下提供了DAT与一般非凸面设置中一阶固定点的收敛速率。从经验上讲,我们证明DAT要么匹配或胜过最先进的稳健精度,并实现了优美的训练速度(例如,在ImageNet下的Resnet-50上)。代码可在https://github.com/dat-2022/dat上找到。
translated by 谷歌翻译
有针对性的训练集攻击将恶意实例注入训练集中,以导致训练有素的模型错误地标记一个或多个特定的测试实例。这项工作提出了目标识别的任务,该任务决定了特定的测试实例是否是训练集攻击的目标。目标识别可以与对抗性识别相结合,以查找(并删除)攻击实例,从而减轻对其他预测的影响,从而减轻攻击。我们没有专注于单个攻击方法或数据模式,而是基于影响力估计,这量化了每个培训实例对模型预测的贡献。我们表明,现有的影响估计量的不良实际表现通常来自于他们对训练实例和迭代次数的过度依赖。我们重新归一化的影响估计器解决了这一弱点。他们的表现远远超过了原始估计量,可以在对抗和非对抗环境中识别有影响力的训练示例群体,甚至发现多达100%的对抗训练实例,没有清洁数据误报。然后,目标识别简化以检测具有异常影响值的测试实例。我们证明了我们的方法对各种数据域的后门和中毒攻击的有效性,包括文本,视觉和语音,以及针对灰色盒子的自适应攻击者,该攻击者专门优化了逃避我们方法的对抗性实例。我们的源代码可在https://github.com/zaydh/target_indistification中找到。
translated by 谷歌翻译
We study the resilience to Byzantine failures of distributed implementations of Stochastic Gradient Descent (SGD). So far, distributed machine learning frameworks have largely ignored the possibility of failures, especially arbitrary (i.e., Byzantine) ones. Causes of failures include software bugs, network asynchrony, biases in local datasets, as well as attackers trying to compromise the entire system. Assuming a set of n workers, up to f being Byzantine, we ask how resilient can SGD be, without limiting the dimension, nor the size of the parameter space. We first show that no gradient aggregation rule based on a linear combination of the vectors proposed by the workers (i.e, current approaches) tolerates a single Byzantine failure. We then formulate a resilience property of the aggregation rule capturing the basic requirements to guarantee convergence despite f Byzantine workers. We propose Krum, an aggregation rule that satisfies our resilience property, which we argue is the first provably Byzantine-resilient algorithm for distributed SGD. We also report on experimental evaluations of Krum.
translated by 谷歌翻译
In large-scale distributed learning, security issues have become increasingly important. Particularly in a decentralized environment, some computing units may behave abnormally, or even exhibit Byzantine failures-arbitrary and potentially adversarial behavior. In this paper, we develop distributed learning algorithms that are provably robust against such failures, with a focus on achieving optimal statistical performance. A main result of this work is a sharp analysis of two robust distributed gradient descent algorithms based on median and trimmed mean operations, respectively. We prove statistical error rates for three kinds of population loss functions: strongly convex, nonstrongly convex, and smooth non-convex. In particular, these algorithms are shown to achieve order-optimal statistical error rates for strongly convex losses. To achieve better communication efficiency, we further propose a median-based distributed algorithm that is provably robust, and uses only one communication round. For strongly convex quadratic loss, we show that this algorithm achieves the same optimal error rate as the robust distributed gradient descent algorithms.
translated by 谷歌翻译
壁钟收敛时间和通信负载是参数服务器设置中随机梯度下降(SGD)的分布式实现的关键性能度量。通信 - 自适应分布式ADAM(CADA)已被提议通过自适应选择减少沟通负荷的方式。 CADA在存在陷阱器的壁时钟收敛时间方面进行性能退化。本文提出了一种名为基于分组的CADA(G-CADA)的小说方案,该方案保留了CADA的优势在减少通信负荷时,同时提高了工人额外储存成本的稳健性。 G-CADA将工人分配到分配相同数据分片的工人组。组在每次迭代时自适应地安排组,并且服务器仅等待每个所选组中最快的工作者。我们提供分析和实验结果,以便在其他基准方案中详细说明G-CADA的壁钟时间和通信负载和计算负荷的显着增益。
translated by 谷歌翻译
我们考虑随着延迟梯度的随机优化,在每次步骤$ $,该算法使用步骤$ t-d_t $的陈旧随机梯度进行更新,从而为某些任意延迟$ d_t $。此设置摘要异步分布式优化,其中中央服务器接收由工作人员计算的渐变更新。这些机器可以体验可能随时间变化而变化的计算和通信负载。在一般的非凸平滑优化设置中,我们提供了一种简单且高效的算法,需要$ o(\ sigma ^ 2 / \ epsilon ^ 4 + \ tau / epsilon ^ 2)$步骤查找$ \ epsilon $ - 静止点$ x $,其中$ \ tau $是\ emph {平均}延迟$ \ smash {\ frac {1} {t} \ sum_ {t = 1} ^ t d_t} $和$ \ sigma ^ 2 $是随机梯度的方差。这改善了以前的工作,这表明随机梯度体面可以实现相同的速率,而是相对于\ emph {maximal}延迟$ \ max_ {t} d_t $,这可以显着大于平均延迟,特别是在异构分布式系统中。我们的实验证明了我们算法在延迟分布歪斜或重尾的情况下的效力和稳健性。
translated by 谷歌翻译
即使机器学习算法已经在数据科学中发挥了重要作用,但许多当前方法对输入数据提出了不现实的假设。由于不兼容的数据格式,或数据集中的异质,分层或完全缺少的数据片段,因此很难应用此类方法。作为解决方案,我们提出了一个用于样本表示,模型定义和培训的多功能,统一的框架,称为“ Hmill”。我们深入审查框架构建和扩展的机器学习的多个范围范式。从理论上讲,为HMILL的关键组件的设计合理,我们将通用近似定理的扩展显示到框架中实现的模型所实现的所有功能的集合。本文还包含有关我们实施中技术和绩效改进的详细讨论,该讨论将在MIT许可下发布供下载。该框架的主要资产是其灵活性,它可以通过相同的工具对不同的现实世界数据源进行建模。除了单独观察到每个对象的一组属性的标准设置外,我们解释了如何在框架中实现表示整个对象系统的图表中的消息推断。为了支持我们的主张,我们使用框架解决了网络安全域的三个不同问题。第一种用例涉及来自原始网络观察结果的IoT设备识别。在第二个问题中,我们研究了如何使用以有向图表示的操作系统的快照可以对恶意二进制文件进行分类。最后提供的示例是通过网络中实体之间建模域黑名单扩展的任务。在所有三个问题中,基于建议的框架的解决方案可实现与专业方法相当的性能。
translated by 谷歌翻译
在联邦学习(FL)中,一群工人参与在一个节点的协调下建立一个全球模型,主任。关于FL的网络安全,一些攻击旨在将所制作的本地模型更新注入系统。一些防御是基于恶意工人检测和行为模式分析。在这种情况下,没有及时和动态的监控方法,酋长无法检测和从系统中删除恶意或不可靠的工人。我们的工作强调了准备联邦学习过程的紧迫性,以便监测和最终行为模式分析。我们研究了在培训的早期阶段内学习过程内的信息,提出了监测过程并评估所需的监测期。目的是在开始检测算法的时间内分析,以便从系统中删除恶意或不可靠的工人并优化防御机制部署。我们在应用于文本和图像分类的不同基准系统的流行模式下对行为模式分析防御进行了测试。我们的研究结果表明,监控过程降低了误报和假阴性,从而通过使分布式学习系统能够在培训的早期阶段实现更好的性能来提高系统效率。
translated by 谷歌翻译
对抗训练实例可能会严重扭曲模型的行为。这项工作调查了经过认证的回归防御措施,该防御措施提供了保证的限制,即在训练集攻击下回归者的预测可能会发生多少变化。我们的关键见解是,使用中位数作为模型的主要决策功能时,经认证的回归减少了认证分类。将我们的减少与现有认证分类器相结合,我们提出了六个新的可证明的回归剂。就我们的知识而言,这是第一部证明单个回归预测的鲁棒性的工作,而没有任何关于数据分布和模型体系结构的假设。我们还表明,现有的最先进的认证分类器通常会做出过分的假设,可以降低其可证明的保证。我们引入了对模型鲁棒性的更严格的分析,在许多情况下,这会大大改善认证的保证。最后,我们从经验上证明了我们的方法对回归和分类数据的有效性,在1%的训练集腐败和4%以下腐败以下预测中,可以保证多达50%的测试预测准确性。我们的源代码可在https://github.com/zaydh/certified-regression上获得。
translated by 谷歌翻译