Performing Model Poisoning Attacks in Federated Learning using Generative Adversarial Networks

In questa tesi, presentiamo un approccio basato sull'Intelligenza Artificiale per eseguire un attacco di Model Poisoning contro i modelli di Federated Learning. L'idea alla base di questa strategia è quella di generare aggiornamenti di gradienti malevoli utilizzando una Generative Adversarial Network (GAN, in breve), che, sfruttando le informazioni sugli aggiornamenti benigni del modello sotto attacco, ne produce di avvelenati forgiati in modo tale da ingannare anche le comuni difese di base del Federated Learning. Per fare in modo che la Generative Adversarial Network impari a eseguire tali attacchi, siamo partiti generando un dataset di addestramento attraverso una simulazione di attacchi effettuati secondo due tecniche di Model Poisoning molto popolari nell'ambito del Federated Learning, ovvero LIE e FANG. Una volta addestrato la GAN, possiamo estrarre il Generatore allenato e utilizzarlo nei Client controllati per generare attacchi e compromettere il modello globale di Federated Learning. Negli esperimenti condotti per validare la proposta descritta in questa tesi, abbiamo provato diverse architetture e ottenuto le migliori prestazioni utilizzando le Conditional Generative Adversarial Networks. Quest'ultima architettura, utilizzando l'epoca in cui viene eseguito l'attacco come driver aggiuntivo per generare gli aggiornamenti malevoli, ci ha permesso di costruire Generatori in grado di emulare gli attacchi su cui era stato addestrato, superando così le difese più comuni.

In this thesis, we present an Artificial Intelligence driven approach to perform a model poisoning attack against Federated Learning. The idea behind this strategy is to generate malicious gradients updates using a Generative Adversarial Network (GAN, for short), which, by leveraging information about benign updates of the model under attack produces poisoned ones forged in such a way to deceive also common baseline Federated Learning defenses. To make the Generative Adversarial Network learn to perform such attacks, we started by generating a training dataset through a simulation of attacks carried out according to two very popular model poisoning techniques in the context of Federated Learning, namely LIE and FANG. Once the GAN is trained, we can extract the learned Generator and use it in controlled clients to generate attacks and compromise the global Federated Learning model. In the experiments carried out to validate the proposal described in this thesis, we tried different architectures and obtained the best performance using Conditional Generative Adversarial Networks. This last architecture, using the epoch in which the attack is performed as additional drivers to craft the malicious updates, allowed us to build Generators capable of emulating the attacks it was trained on, thus overcoming the most common defenses.