FedArmor: ensembling defense methods to detect and mitigate malicious clients in Federated Learning for Healthcare

Machine Learning (ML) is playing an increasingly crucial role in revolutionizing the healthcare sector, supporting doctors in diagnosing and treating patients. However, using Machine Learning in the medical field presents many difficulties: strict privacy regulations avoid sharing and aggregating patient data, making it impossible to create datasets for training models. Federated Learning (FL) recently emerged as a promising solution, allowing the training of a ML model without sharing the data. While Federated Learning solves the problem of having a centralized dataset, its distributed nature makes it vulnerable to various attacks. For instance, a malicious client can send specially crafted updates to decrease the accuracy or insert a backdoor in the model. Some defenses have been proposed, but they succeed in mitigating only a specific class of attacks or require an additional dataset for validation, which is not always available, especially in the medical field. We propose FedArmor, a new defense approach that combines different state-of-the-art techniques to mitigate different classes of attacks without requiring an additional dataset. We demonstrate the effectiveness of our strategy, evaluating the performance against four classes of attacks. To further validate the performance in the healthcare sector, we tested our approach on a state-of-the-art stroke prediction dataset, showing robust performance in identifying and mitigating attacks. Compared with other isolated state-of-the-art defenses, FedArmor obtains the lowest attack success rate in each attack class while preserving the model's accuracy without adding too much overhead.

Il Machine Learning (ML) sta assumendo un ruolo sempre più importante nel settore sanitario, supportando i medici nella diagnosi e nel trattamento dei pazienti. Sfortunatamente, l’impiego del Machine Learning in ambito medico presenta numerose difficoltà, le stringenti norme a tutela della privacy non consentono la condivisione e l’aggregazione dei dati dei pazienti, rendendo impossibile la creazione di datasets necessari all’addestramento dei modelli. Recentemente il Federated Learning (FL) si è rivelato essere una soluzione promettente, rendendo possibile l’addestramento dei modelli di Machine Learning senza la necessità di dover condividere i dati. Nonostante i numerosi vantaggi, la natura distribuita del Federated Learning lo rende vulnerabile a diverse tipologie di attacchi. Un attaccante che partecipa al training potrebbe inviare aggiornamenti costruiti appositamente per ridurre l’accuratezza del modello o inserire una backdoor al suo interno. Per contrastare questo tipo di attacchi sono state proposte numerose difese, la maggior parte di esse, però, si focalizza nel mitigare una singola tipologia di attacco, a volte richiedendo l’utilizzo di un dataset aggiuntivo per la validazione, non sempre disponibile soprattutto in ambito sanitario. Per risolvere questi problemi, proponiamo FedArmor, un nuovo approccio difensivo che combina diverse tecniche al fine di contrastare diverse classi di attacchi senza la necessità di un dataset aggiuntivo. Per dimostrare l’efficacia del nostro approccio, abbiamo valutato le performance nel contrastare quattro diverse tipologie di attacco. Per verificarne l’efficacia in ambito sanitario, abbiamo valutato la capacità di mitigare gli attacchi usando un famoso dataset medico per la prevenzione degli ictus. Infine, abbiamo confrontato FedArmor con alcune delle più note difese presenti nello stato dell’arte, ottenendo performance migliori senza allungare i tempi di addestramento del modello.