隐私保护的拜占庭鲁棒联邦学习算法.pdf
《隐私保护的拜占庭鲁棒联邦学习算法.pdf》由会员分享,可在线阅读,更多相关《隐私保护的拜占庭鲁棒联邦学习算法.pdf(11页珍藏版)》请在咨信网上搜索。
1、收稿日期:网络出版时间:基金项目:陕西省自然科学基础研究计划(J Q );国家自然科学基金(,);中央高校基本科研业务费专项资金(Z Y T S );中 央 高 校 基 本 科 研 业 务 费 专 项 资 金();广 东 省 网 络 与 信 息 安 全 漏 洞 研 究 重 点 实 验 室 项 目(B );广州市科技计划项目()作者简介:李海洋(),男,西安电子科技大学硕士研究生,E m a i l:o c e a n c o m刘玖樽(),男,西安电子科技大学硕士研究生,E m a i l:j z l i u s t u x i d i a n e d u c n刘志全(),男,副研究员,E
2、m a i l:z q l i u j n u e d u c n通信作者:郭晶晶(),女,副教授,E m a i l:j j g u o x i d i a n e d u c n网络出版地址:h t t p s:/k n s c n k i n e t/k c m s/d e t a i l/T N h t m ld o i 敭 j 敭i s s n 敭 敭 敭 隐私保护的拜占庭鲁棒联邦学习算法李 海 洋,郭 晶 晶,刘 玖 樽,刘 志 全,(西安电子科技大学 网络与信息安全学院,陕西 西安 ;暨南大学 信息科学技术学院,广东 广州 ;数力聚(北京)科技有限公司,北京 )摘要:联邦学习是一
3、种分布式机器学习范式,其中节点的原始训练集不出本地,它们通过共享模型更新来协作训练机器学习模型.当前联邦学习领域中的隐私保护和拜占庭攻击检测研究大都独立展开,现有的拜占庭攻击检测方法不可直接应用于隐私保护环境,不符合联邦学习的实际应用需求.针对上述问题,提出一种可在数据非独立同分布和隐私保护环境下拜占庭鲁棒的联邦学习算法.首先,以差分隐私技术为模型更新(本地模型梯度信息)提供隐私保护;然后,基于节点上传的历史模型更新对节点当前状态进行可信度评估;最后,根据评估结果进行全局模型聚合.仿真实验结果表明,在节点训练集非独立同分布、隐私保护和拜占庭节点比例为 的联邦学习环境中,所提算法进行拜占庭节点检
4、测的漏检率和误检率均为.同时,随着节点数量的增加,拜占庭节点检测的时间开销呈线性增长的趋势.与现有的拜占庭节点检测算法相比,所提算法在节点数据非独立同分布及模型隐私保护情况下可得到更高精度的全局模型.关键词:联邦学习;拜占庭攻击;异常检测;隐私保护技术;差分隐私中图分类号:T P 文献标识码:A文章编号:()P r i v a c yp r e s e r v i n gb y z a n t i n e r o b u s t f e d e r a t e d l e a r n i n ga l g o r i t h mL IH a i y a n g G U OJ i n g j i
5、 n g L I UJ i u z u n L I UZ h i q u a n 敭 S c h o o l o fC y b e rE n g i n e e r i n g X i d i a nU n i v e r s i t y X i a n C h i n a 敭 C o l l e g eo f I n f o r m a t i o nS c i e n c ea n dT e c h n o l o g y J i n a nU n i v e r s i t y G u a n g z h o u C h i n a 敭 C y b e r d a t a f o r c
6、 e B e i j i n g T e c h n o l o g yL t d 敭 B e i j i n g C h i n a A b s t r a c t F e d e r a t e dl e a r n i n g i sad i s t r i b u t e dm a c h i n e l e a r n i n gp a r a d i g m i nw h i c ht h eo r i g i n a l t r a i n i n gs e t so f t h en o d e sd on o th a v et ol e a v et h el o c a
7、la r e aa n dt h e yc o l l a b o r a t et ot r a i nm a c h i n el e a r n i n gm o d e l sb ys h a r i n gm o d e l u p d a t e s 敭 M o s to f t h ec u r r e n tp r i v a c y p r e s e r v i n ga n dB y z a n t i n ea t t a c kd e t e c t i o nr e s e a r c h e s i nt h e f i e l do ff e d e r a t
8、 e dl e a r n i n ga r ec a r r i e do u ti n d e p e n d e n t l y a n dt h ee x i s t i n gB y z a n t i n ea t t a c kd e t e c t i o nm e t h o d sc a n n o tb ed i r e c t l ya p p l i e dt ot h ep r i v a c y p r e s e r v i n ge n v i r o n m e n t w h i c hd o e sn o tm e e t t h ep r a c t
9、i c a la p p l i c a t i o nr e q u i r e m e n t so f f e d e r a t e dl e a r n i n g 敭 T oa d d r e s st h e s ep r o b l e m s t h i sp a p e rp r o p o s e saf e d e r a t e dl e a r n i n ga l g o r i t h mf o rB y z a n t i n er o b u s t n e s s i nap r i v a c y p r e s e r v i n ge n v i r
10、 o n m e n tw i t hd a t an o n i n d e p e n d e n t 年月第 卷第期西安电子科技大学学报J OURNA LO FX I D I ANUN I V ER S I TYA u g V o l N o h t t p:/j o u r n a l x i d i a n e d u c n/x d x ba n d i d e n t i c a l l yd i s t r i b u t e d 敭 F i r s t p r i v a c yp r o t e c t i o ni sp r o v i d e df o rm o d e
11、 lu p d a t e s l o c a lm o d e lg r a d i e n ti n f o r m a t i o n b yd i f f e r e n t i a lp r i v a c yt e c h n i q u e s t h e nt h ec r e d i b i l i t yi se v a l u a t e df o rt h ec u r r e n ts t a t eo fn o d e sb a s e do nh i s t o r i c a l m o d e lu p d a t e su p l o a d e d b y
12、n o d e s a n df i n a l l y g l o b a l m o d e la g g r e g a t i o ni sp e r f o r m e db a s e do nt h ee v a l u a t i o nr e s u l t s 敭 S i m u l a t i o nr e s u l t ss h o wt h a t i naf e d e r a t e dl e a r n i n ge n v i r o n m e n tw i t hd a t an o n i n d e p e n d e n ta n di d e n
13、 t i c a l l yd i s t r i b u t e d a n dw i t ht h ep r i v a c yp r o t e c t i o na n dB y z a n t i n en o d er a t i oo f t h ep r o p o s e da l g o r i t h mp e r f o r m sB y z a n t i n en o d ed e t e c t i o nw i t hb o t ht h em i s sd e t e c t i o nr a t ea n dt h e f a l s ed e t e c
14、t i o nr a t ea t敭 M e a n w h i l e t h et i m eo v e r h e a do fB y z a n t i n en o d ed e t e c t i o nt e n d st ol i n e a r l y i n c r e a s ew i t ht h e i n c r e a s e i nt h en u m b e ro ft h en o d e s 敭 C o m p a r e dw i t ht h ee x i s t i n gB y z a n t i n en o d ed e t e c t i o
15、 na l g o r i t h m s t h ep r o p o s e da l g o r i t h mc a no b t a i nag l o b a lm o d e lw i t hah i g h e r a c c u r a c y i nt h ec a s eo fd a t ab e i n gn o n i n d e p e n d e n t a n d i d e n t i c a l l yd i s t r i b u t e da n dm o d e l p r i v a c yp r o t e c t i o n 敭K e yW o
16、r d s f e d e r a t e dl e a r n i n g B y z a n t i n ea t t a c k a n o m a l yd e t e c t i o n p r i v a c y p r e s e r v i n gt e c h n i q u e s d i f f e r e n t i a l p r i v a c y 引言随着社会的发展,人工智能有着越来越多的实际应用.为应对人工智能面临的数据孤岛问题,联邦学习(F e d e r a t e dL e a r n i n g,F L)应运而生.不同于传统的数据集中式机器学习,联邦学习
17、是一种分布式机器学习架构,联邦学习系统中节点的本地训练集不出本地,节点间通过共享模型训练的中间参数进行多方协作训练得到共享的全局模型.根据节点的本地训练集特征,联邦学习可分为种类型,分别是数据样本I D空间重叠较少而数据特征空间重叠较多的横向联邦学习(H o r i z o n t a lF e d e r a t e dL e a r n i n g,H F L),数据样本I D空间重叠较多而数据特征空间重叠较少的纵向联邦学习(V e r t i c a lF e d e r a t e dL e a r n i n g,V F L)以及数据样本I D空间和数据特征空间均重叠较少的联邦迁移学
18、习(F e d e r a t e dT r a n s f e rL e a r n i n g,F T L).横向联邦学习进行一轮训练的流程如下:节点在本地进行模型训练,获得本地模型并将模型更新(梯度)上传至聚合服务器;聚合服务器首先接收各节点上传的本地模型梯度信息,然后进行聚合生成全局模型梯度,并将模型梯度信息下发至各节点;节点接收全局模型梯度并以此更新本地模型.上述步骤一直循环执行,直至全局模型收敛或者达到预定义的模型迭代训练轮数.尽管流程中节点的本地训练集未出本地,但节点上传的中间训练参数同样会泄露隐私 .针对这一问题,国内外学者提出了许多联邦学习的隐私保护方案,这些方案通过对中间训
19、练参数进行隐私保护来避免节点的隐私泄露.当前的隐私保护方法主要分为以同态加密(H o m o m o r p h i cE n c r y p t i o n,HE)、安全多方计算(S e c u r eM u l t i p a r t yC o m p u t a t i o n,S MC)为代表的加密方法和以差分隐私(D i f f e r e n t i a lP r i v a c y,D P)为代表的扰动方法 .同态加密是一种无需访问数据本身便可处理数据的技术,即聚合服务器可对密文状态的模型梯度信息进行计算.然而,同态加密计算复杂,要求节点有较高计算能力,因此在当前计算力条件下,同
20、态加密在联邦学习中的实用性不高.安全多方计算可在不泄露原始数据条件下实现全局模型的无损聚合.然而,安全多方计算通常需要复杂的流程设计,有较高的额外计算成本,因此效率不高.差分隐私通过添加噪声来扰动原本极易识别的数据,避免数据的敏感信息泄露,且所添加的噪声不会破坏数据原本的特征.在每一轮联邦学习训练中,首先将节点的本地模型梯度信息进行差分隐私处理,然后再将其发往聚合服务器,从而防止节点隐私泄露.基于差分隐私的横向联邦学习算法主要目标是在精度损失可接受范围内实现隐私预算最小.WE I等提出C R D(C o mm u n i c a t i o nR r o u n d sD i s c a u
21、n t i n g)算法,证明在给定隐私预算时存在一个最优的训练轮数,可在满足差分隐私的同时提升模型性能.差分隐私通过牺牲部分模型精度来实现隐私保护,实现简便,计算开销低,是一种实用的隐私保护技术.由于联邦学习的本质是一种分布式机器学习,因此易受拜占庭节点攻击.拜占庭节点攻击的常用手段是发起投毒攻击破坏模型的完整性与可用性,致使联邦学习系统的鲁棒性极低.S HE J WA L KA R等 提出一种模型投毒攻击,在生成恶意梯度时,使其方向同正常模型梯度方向相反,然后将模型梯度的长度设置为系统防御机制可检测的门限范围内的边缘值,以使恶意梯度的攻击能力最大化.针对拜占庭节点的防御问题,文献 中总结了
22、以K r u m、M u l t i K r u m、B u y l a n等为代表的统计学分析方法,其核心思路为:首先基于模型更新的某种数学指标进行安全聚合,例如中位值、均值等;文献 这类基于变分自编码器(A u t o 西安电子科技大学学报第 卷h t t p:/j o u r n a l x i d i a n e d u c n/x d x bE n c o d e r,A E)识别恶意模型参数的机器学习方法,其核心思路为:首先聚合服务器预先在本地预训练一个自编码器模型,然后正式训练过程中基于自编码器计算各节点模型更新的重构误差,以此重构误差判断模型更新的可靠性;文献 这类基于生成对抗
23、网络(G e n e r a t i v eA d v e r s a r i a lN e t w o r k,GAN)的防御方法,其核心思路为:首先基于生成对抗网络补足异常检测模型训练集,然后基于异常检测模型进行拜占庭检测;文献 ,这类通过验证模型参数精度来检测恶意模型参数的方法,其核心思路为:首先聚合服务器利用根数据集在本地训练一个同联邦学习任务一致的本地模型,然后基于节点提供的模型,更新和聚合服务器本地训练得到的模型,以更新的余弦相似度计算节点的信任值.无论是哪一类防御方法,其基本策略皆为对节点中间训练参数的某项数据指标进行相互比较,从而找出离群值.而这样的策略存在两个问题:数据非独立
24、同分布.真实的横向联邦学习场景中节点间的数据是参差不齐的,如果节点训练数据差别过大,那么节点的中间训练参数的区别也会较大,则此类节点的中间训练参数容易被系统检测机制误判为恶意数据.因此,现有的拜占庭鲁棒算法一般不能直接用于数据非独立同分布的联邦学习环境.隐私保护环境.不论是加密还是扰动的隐私保护方法,其基本目的都是隐藏节点中间训练参数的数据特征从而破坏其可分析性.以同态加密为代表的加密方法使得节点中间训练参数的数据特征完全隐藏,致使检测机制无法对密文进行分析;以差分稳私为代表的扰动方法使得节点中间训练参数的数据特征部分隐藏,这使检测机制执行难度增加.因此,现有的拜占庭鲁棒算法一般不能直接用于隐
25、私保护的联邦学习环境.针对上述问题,文中提出一种可在数据非独立同分布和隐私保护环境下拜占庭鲁棒的联邦学习算法.首先,节点对本地梯度进行隐私保护处理;然后,聚合服务器将节点的历史模型更新依次输入自编码器和长短期记忆(L o n gS h o r t T e r m M e m o r y,L S TM)模型,比较长短期记忆模型输出的预测值和实际值的差距以检测拜占庭攻击;最后,聚合服务器根据评估结果进行全局梯度聚合.针对隐私保护需求,所提算法采用差分隐私技术为节点的本地梯度进行隐私保护处理.针对数据非独立同分布环境下的拜占庭鲁棒需求,所提算法仅对节点上传的历史梯度进行纵向比较,以此对节点的可信度进
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 隐私 保护 拜占庭 联邦 学习 算法
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。