Adversarial attacks and defences in Federated Learning

Abstract

Artificial Intelligence (AI) is currently in the process of revolutionising numerous facets of everyday life. Nevertheless, as its development progresses, the associated risks are on the rise. Despite the fact that its full potential remains uncertain, there is a growing apprehension regarding its deployment in sensitive domains such as education, culture, and medicine. Presently, one of the foremost challenges confronting us is finding a harmonious equilibrium between the prospective advantages and the attendant risks, thereby preventing precaution from impeding innovation. This necessitates the development of AI systems that are robust, secure, transparent, fair, respectful to privacy and autonomy, have clear traceability, and are subject to fair accountability for auditing. In essence, it entails ensuring their ethical and responsible application, giving rise to the concept of trustworthy AI. In this context, Federated Learning (FL) emerges as a paradigm of distributed learning that ensures the privacy of training data while also harnessing global knowledge. Although its ultimate objective is data privacy, it also brings forth other cross-cutting enhancements such as robustness and communication cost minimisation. However, like any learning paradigm, FL is susceptible to adversarial attacks aimed at altering the model’s operation or inferring private information. The central focus of this thesis is the development of defence mechanisms against adversarial attacks that compromise the model’s behaviour while concurrently promoting other requirements to ensure trustworthy AI.

La Inteligencia Artificial (Artificial Intelligence - AI) está cambiando de raíz múltiples aspectos de la vida cotidiana. Sin embargo, a medida que avanza su desarrollo, se incrementan los riesgos derivados de su uso. Aunque todavía no se conoce su potencial, cada vez es mayor la preocupación por su uso en campos delicados como la educación, la cultura o la medicina. Uno de los mayores retos en los que nos encontramos ahora mismo es encontrar el balance entre los potenciales beneficios y los riesgos ocasionados, de forma que la prevención no pare a la innovación. Esto implica desarrollar sistemas de AI que sean robustos, seguros, transparentes, justos, respetuosos con la privacidad y la autonomía, que tengan una trazabilidad clara y auditables. En definitiva, garantizar su aplicación ética y responsable, donde nacen los conceptos de AI confiable y sistema de AI responsable.

En este contexto surge el Aprendizaje Federado (Federated Learning - FL) como un paradigma de aprendizaje distribuido que asegura la privacidad de los datos de entrenamiento al mismo tiempo que es capaz de aprovechar el conocimiento global. Aunque su objetivo final es la privacidad de datos, también aporta otras mejoras transversales como la robustez y la minimización de costes de comunicación. Sin embargo, al igual que cualquier paradigma de aprendizaje, el FL es susceptible a ataques adversarios que pretenden modificar el funcionamiento del modelo o inferir información privada. El eje central de esta tesis es el desarrollo de mecanismos de defensa contra ataques adversarios que comprometen el funcionamiento del modelo, al mismo tiempo que se fomentan otros requerimientos para asegurar una AI confiable.