30abr2026
09:30 Defesa de Mestrado sala 85 do IC2
Tema
Mitigação de Ataques de Envenenamento de Dados em Aprendizado Federado sob Distribuições Não-IID via Redução de Dimensionalidade
Aluno
Lucas Cléopas Costa da Silva
Orientador / Docente
Luiz Fernando Bittencourt - Coorientador: Edmundo Roberto Mauro Madeira
Breve resumo
O Aprendizado Federado (FL) permite o treinamento colaborativo de modelos de aprendizado de máquina sem compartilhamento de dados brutos, preservando a privacidade dos participantes. Contudo, sua natureza descentralizada introduz vulnerabilidades de segurança, especialmente ataques de envenenamento de dados, onde clientes maliciosos corrompem o modelo global através de manipulações locais. O ataque de Label Flipping, que consiste na inversão sistemática dos rótulos de treinamento, destaca-se por sua simplicidade e eficácia destrutiva. As defesas existentes na literatura, embora eficazes em cenários idealizados com dados independentes e identicamente distribuídos (IID), apresentam degradação severa em ambientes reais caracterizados por heterogeneidade estatística (distribuição não-IID), onde clientes honestos naturalmente produzem atualizações divergentes que são erroneamente classificadas como maliciosas. Esta dissertação propõe o mecanismo de defesa PCA Robust Median (PCA-RobMed), uma abordagem que combina redução de dimensionalidade via Análise de Componentes Principais com estimação robusta de consenso através da mediana coordenada-a-coordenada no espaço projetado. O método projeta os vetores de atualização dos clientes em um espaço latente de baixa dimensão, onde o ruído estocástico é atenuado e as características distintivas entre contribuições honestas e maliciosas são preservadas. Duas variantes foram desenvolvidas: PCA-RobMed Direction, baseada em similaridade de cosseno para detectar inversões direcionais causadas pelo ataque, e PCA-RobMed Distance, fundamentada em distância Euclidiana no espaço projetado. A validação experimental foi conduzida no dataset MNIST com arquiteturas de redes neurais densas (DNN) e convolucionais (CNN), considerando cenários IID e não-IID (particionamento via distribuição de Dirichlet com alpha=0,1) sob diferentes proporções de clientes maliciosos (20%, 40% e 60%). Os resultados demonstram que as defesas propostas superam consistentemente os métodos de baseline (FedAvg, Krum, Multi-Krum, Média Aparada e Clustering) em cenários não-IID, com destaque para a manutenção de F1-Score superior a 0,92 mesmo com 40% de atacantes, enquanto defesas como Krum degradam para 0,22. A análise de eficiência revelou convergência mais rápida (21 rodadas para DNN versus 45 do Multi-Krum) e maior estabilidade ao longo do treinamento (AULC de 39,21 versus 6,87 do Krum). O estudo de sensibilidade identificou configurações ótimas de hiperparâmetros, com k=5 componentes principais e fração de descarte calibrada conforme a proporção estimada de adversários. Conclui-se que a análise de atualizações em espaços latentes reduzidos, combinada com estimadores robustos, oferece uma alternativa viável para proteção de sistemas de Aprendizado Federado em ambientes heterogêneos, sem requerer dados auxiliares no servidor e mantendo compatibilidade com o princípio de zero-knowledge fundamental ao paradigma federado.
Banca examinadora
Titulares:
| Luiz Fernando Bittencourt | IC/UNICAMP |
| Daniel Macêdo Batista | IME/USP |
| Gabriel Capiteli Bertocco | IC/UNICAMP |
Suplentes:
| Anderson de Rezende Rocha | IC/UNICAMP |
| Vinícius Fernandes Soares Mota | CT/UFES |