EDGE-ASSISTED DETECTION AND MITIGATION OF LABEL-FLIPPING ATTACKS IN FEDERATED LEARNING SYSTEMS. PhD thesis, King Fahd University of Petroleum and Minerals.
![]() |
PDF
PhD_Dissertation_Nourah_AlOtaibi-17-2_eprint.pdf Restricted to Repository staff only until 13 May 2026. Download (8MB) |
Arabic Abstract
أصبح التعلم التعاوني الفيدرالي (FL) نهجًا ثوريًا في تدريب النماذج مع الحفاظ على خصوصية البيانات. ومع ذلك، فإن طبيعته اللامركزية تجعله عرضة للتهديدات العدائية، لا سيما هجمات قلب التسميات (LFAs)، حيث يقوم العملاء الخبيثون بتعديل تسميات الفئات لإضعاف أداء النموذج. ضمان متانة، قابلية تفسير، وقابلية تكيف التعلم الفيدرالي ضد هذه التهديدات أمرٌ بالغ الأهمية لاستخدامه في التطبيقات الحساسة للأمان مثل الرعاية الصحية، التمويل، والأنظمة المستقلة. على الرغم من التقدم في أمان التعلم الفيدرالي، لا تزال استراتيجيات الكشف والتخفيف الحالية محدودة بسبب الاعتماد الكبير على الكشف المركزي، نقص التفسير، وأساليب التخفيف الصارمة التي تفشل في التكيف مع السلوكيات العدائية المتطورة. تحدد هذه الأطروحة ثلاثة فجوات بحثية رئيسية: (1) غياب آليات الكشف المدعومة بالحافة في بنية التعلم الفيدرالي القائم على العميل-الحافة-السحابة تحت افتراضات عدائية واقعية، حيث تعتمد الدفاعات الحالية على نهج مركزي ونسبة محددة مسبقًا للعملاء الخبيثين، (2) محدودية التفسير في أساليب الكشف، مما يجعل من الصعب فهم السلوك العدائي وتعزيز الثقة في نماذج التعلم الفيدرالي، (3) عدم وجود استراتيجيات تخفيف قابلة للتفسير ومدعومة بالحافة، حيث تعتمد الأساليب التقليدية على استبعاد التحديثات بالكامل وتأخير التخفيف إلى مستوى السحابة، مما يفشل في توضيح التعديلات المستهدفة. لسد هذه الفجوات، تقترح هذه الدراسة إطارًا للكشف والتخفيف المدعوم بالحافة والقابل للتفسير لهجمات قلب التسميات في التعلم الفيدرالي. تعتمد آلية الكشف على تحليل التباين وتقنيات الذكاء التفسيري (XAI)، مثل Grad-CAM، وهو أداة تفسيرية متخصصة في الشبكات العصبية التلافيفية (CNN)، لإنتاج خرائط حرارية خاصة بكل فئة تسلط الضوء على التحديثات التي تعرضت للتلاعب العدائي. يتم توظيف التحليل بالمكونات الرئيسية (PCA) والتجميع باستخدام DBSCAN عند الحافة للتمييز بين العملاء الخبيثين والصادقين بناءً على أنماط تنشيط Grad-CAM. أما فيما يخص التخفيف، فقد تم تطوير عدة استراتيجيات للحد من التأثير العدائي مع الحفاظ على المساهمات الشرعية. بالإضافة إلى ذلك، تم تقديم آلية تسجيل ثقة تعتمد على التاريخ السلوكي للعملاء لضبط قرارات التخفيف ديناميكيًا، مما يمنع المهاجمين من التهرب من الكشف عبر استراتيجيات الهجوم المتقطع (On-Off Attacks). تم تنفيذ الإطار المقترح وتقييمه على مجموعة من بيانات التعلم الفيدرالي القياسية، بما في ذلك MNIST، Fashion-MNIST، وCIFAR-10، تحت سيناريوهات هجومية مختلفة. تم إجراء تقييم منهجي شامل لقياس مساهمة كل مكون، من حيث دقة الكشف، قابلية التفسير، كفاءة التخفيف، متانة النموذج، والكفاءة الحسابية على مستوى الحافة. أظهرت النتائج التجريبية أن الإطار المقترح يتفوق بشكل ملحوظ على آليات الدفاع التقليدية المعتمدة على حساب المسافات والاستبعاد الكامل، حيث يحقق معدل كشف أعلى، تفسيرًا أوضح، تقليلًا في الحمل الحسابي، وقدرة أقوى على الصمود أمام الهجمات العدائية المتخفية. تساهم هذه الدراسة في تعزيز أمن التعلم الفيدرالي القابل للتفسير من خلال: 1. تقديم إطار كشف مدعوم بالحافة يعتمد على Grad-CAM، 2. تطوير استراتيجية تخفيف تعتمد على الثقة الديناميكية، 3. تحسين تقنيات الدفاع العدائية القابلة للتفسير في التعلم الفيدرالي. من خلال معالجة الفجوات البحثية المحددة، يقدم هذا العمل حلاً قابلاً للتطوير، قابلاً للتفسير، وقابلًا للتكيف لحماية التعلم الفيدرالي ضد هجمات قلب التسميات. تؤكد النتائج على الإمكانيات الواعدة لدمج تقنيات الذكاء التفسيري (XAI) مع الحوسبة الطرفية (Edge Computing) لتعزيز أمان، كفاءة، ومصداقية تطبيقات التعلم الفيدرالي. سيتناول العمل المستقبلي توسيع هذه المنهجية لمواجهة تهديدات عدائية أوسع واستكشاف بنيات FL أكثر تعقيدًا، مما يدفع مجال التعلم الآلي الآمن والمحافظ على الخصوصية إلى الأمام.
English Abstract
Federated Learning (FL) has emerged as a transformative approach to distributed ma- chine learning while preserving data privacy. However, its decentralized nature makes it susceptible to adversarial threats, including Label Flipping Attacks (LFAs), in which malicious clients manipulate class labels to degrade the performance of the model. En- suring the integrity of FL models against such threats is critical for its deployment in security-sensitive applications such as healthcare, finance, and autonomous systems. Despite advances in FL security, existing detection and mitigation strategies remain limited by a heavy reliance on centralized detection, lack of explainability, and rigid mitigation techniques that fail to adapt to evolving adversarial behaviors and mitigate attacks at the edge level. In this thesis, we address three research gaps: (1) lack of edge-assisted detection mechanisms with realistic adversarial assumptions, where existing defenses rely on centralized defense and predefined ratio for malicious clients, (2) limited explainabil- ity in detection approaches, making it difficult to interpret adversarial behavior and enhance trust in FL models, and (3) absence of explainable and edge-level mitigation strategies, where conventional methods discard entire updates and delay the mitigation at cloud level, failing to explain targeted manipulations. To bridge these gaps, this thesis proposes edge-assisted and explainable detection and mitigation approaches for LFAs in FL. The detection mechanisms leverage dis- crepancy analysis and explainable AI (XAI) techniques such as Grad-CAM which is a CNN-specific explainability tool, to generate class-specific heatmaps that highlight adversarially manipulation. PCA and DBSCAN clustering are employed at the edge to distinguish malicious clients from honest ones based on Grad-CAM activation pat- terns. For mitigation, different mitigation approaches are developed at the edge level to mitigate adversarial updates while preserving legitimate contributions. Addition- ally, a trust-based scoring mechanism dynamically adjusts mitigation decisions based on client behavior history, preventing attackers from evading detection through on-off attack strategies. The proposed framework is implemented and evaluated on benchmark FL datasets, including MNIST, Fashion-MNIST, and CIFAR-10, under diverse adversarial scenar- ios. A comprehensive evaluation assesses the contribution of each component, measur- ing detection accuracy, interpretability, mitigation effectiveness, model robustness, and computational efficiency at the edge. Experimental results demonstrate that the frame- work significantly outperforms traditional distance-based and exclusion-based defense mechanisms, offering higher detection precision and recall, enhanced explainability, reduced computational overhead, and stronger resilience against stealthy LFAs. This research makes several key contributions to secure FL by introducing an explainable edge-assisted, Grad-CAM-based detection framework, developing trust-driven mitiga- tion strategy, and advancing interpretable adversarial defense techniques in FL. By addressing the identified gaps, this work provides a scalable, interpretable, and effec- tive solution for securing FL against LFAs. The findings underscore the potential of integrating XAI with edge computing to enhance the security, efficiency, and trust- worthiness of FL deployments. Future work will explore extending this approach to broader adversarial threats and more complex FL architectures, further advancing the field of privacy-preserving and secure machine learning.
Item Type: | Thesis (PhD) |
---|---|
Subjects: | Computer |
Department: | College of Computing and Mathematics > Information and Computer Science |
Committee Advisor: | Mahmood, Sajjad |
Committee Co-Advisor: | Felemban, Muhamad |
Committee Members: | Sheltami, Tarek and Alam Khan, Fakhri and Jameleddine, Hassine |
Depositing User: | NOURAH ALOTAIBI (g201906790) |
Date Deposited: | 15 May 2025 08:01 |
Last Modified: | 15 May 2025 08:01 |
URI: | http://eprints.kfupm.edu.sa/id/eprint/143363 |