The distributed nature of Federated Learning (FL) creates security-related vulnerabilities including training-time attacks. Recently, it has been shown that well-known Byzantine-resilient aggregation schemes are indeed vulnerable to an informed adversary who has access to the aggregation scheme and updates sent by clients. Therefore, it is a significant challenge to establish successful defense mechanisms against such an adversary. To the best of our knowledge, most current aggregators are immune to single or partial attacks and none of them is expandable to defend against new attacks. We frame the robust distributed learning problem as a game between a server and an adversary that tailors training-time attacks. We introduce RobustTailor, a simulation-based algorithm that prevents the adversary from being omniscient. RobustTailor is a mixed strategy and has good expandability for any deterministic Byzantine-resilient algorithm. Under a challenging setting with information asymmetry between two players, we show that our method enjoys theoretical guarantees in terms of regret bounds. RobustTailor preserves almost the same privacy guarantees as standard FL and robust aggregation schemes. Simulation improves robustness to training-time attacks significantly. Empirical results under challenging attacks validate our theory and show that RobustTailor preforms similar to an upper bound which assumes the server has perfect knowledge of all honest clients over the course of training.

Den distribuerade karaktären hos federerade maskininlärnings-system gör dem sårbara för cyberattacker, speciellt under tiden då systemen tränas. Nyligen har det visats att många existerande Byzantine-resilienta aggregeringssystem är sårbara för attacker från en välinformerad motståndare som har tillgång till aggregeringssystemet och uppdateringarna som skickas av klienterna. Det är därför en stor utmaning att skapa framgångsrika försvarsmekanismer mot en sådan motståndare. Såvitt vi vet är de flesta nuvarande aggregatorer immuna mot enstaka eller partiella attacker och ingen av dem kan på ett enkelt sätt utvidgas för att försvara sig mot nya attacker. Vi utformar det robusta distribuerade inlärningsproblemet som ett spel mellan en server och en motståndare som skräddarsyr attacker under träningstiden. Vi introducerar RobustTailor, en simuleringsbaserad algoritm som förhindrar att motståndaren är allvetande. RobustTailor är en blandad strategi med god expanderbarhet för alla deterministiska Byzantine-resilienta algoritmer. I en utmanande miljö med informationsasymmetri mellan de två spelarna visar vi att vår metod har teoretiska garantier i form av gränser för ånger. RobustTailor har nästan samma integritetsgarantier som standardiserade federerade inlärnings- och robusta aggregeringssystem. Vi illustrerar även hur simulering förbättrar robustheten mot attacker under träningstiden avsevärt. Empiriska resultat vid utmanande attacker bekräftar vår teori och visar att RobustTailor presterar på samma sätt som en övre gräns som förutsätter att servern har perfekt kunskap om alla ärliga klienter under utbildningens gång.