提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
文章目录
概况
现在大部分关于联邦学习安全的研究都在于防止用户投毒攻击(恶意用户上传数据),和隐匿本地模型的更新,保护用户的隐私,很少有兼顾两者的安全方式。
但是,结合两者的研究是一个巨大挑战,因为两者在对于模型的安全性方面常常相互冲突。
本文提出了一个基于同态加密的安全聚合协议,使得服务器可以用隐私的方式合并本地模型更新,接着使用zero-knowledge证明协议将攻击检测的任务从服务端转移到用户端,关键的点在于,服务器不再需要访问本地模型进行攻击检测,因此,该框架能够让中央服务器在不侵犯隐私保护的情况下识别被篡改的模型更新。
一、介绍
联邦学习是一种用来大规模分布式深度学习模型的框架,每轮训练,中央服务器将全局模型给分给随机选中用户,用户本地使用全局模型训练,训练后的本地模型交还给服务器,服务器对于所有的本地模型进行聚合平均生成新的全局模型。
面对的隐私和安全风险
隐私风险
尽管用户训练数据不会直接泄露给服务器,但是模型更新需要被提交给服务器,这带来了隐私泄露的风险,可能会通过训练后的神经网络参数,推断出用户的原始训练数据。
投毒攻击风险
联邦学习容易受到模型投毒攻击,这种攻击利用了联邦学习中恶意用户可以直接影响全局模型的特性,攻击者可以操纵本地模型的参数或者本地模型训练规则影响全局表现,从而使攻击更具破坏性。
为了保护用户隐私,安全聚合协议被引入到联邦学习中,用于设计一个保护本地模型更新的训练框架。这些协议允许服务器在不获知任何单个本地模型信息的情况下,私密地合并本地模型更新,从而更新全局模型。具体来说,服务器可以计算本地模型参数的总和,而不需要访问这些本地模型。因此,本地模型更新对服务器是隐匿的,从而防止服务器通过用户的更新推断他们的私人训练数据。
但是,联邦学习在应对某些恶意用户的对抗性攻击,尤其是投毒攻击的脆弱性,这种脆弱性利用了联邦学习赋予了用户训练本地模型自由性的特质。任何用户可以通过任意修改本地模型的权重进行攻击,为了预防这类攻击,传统方法是让中央服务器运行一些防御机制,检查每个模型更新,例如使用异常检测算法过滤出被中毒的模型更新。
然而,将隐私保护和安全防护这两条研究路线结合起来并非易事,因为它们彼此矛盾。具体来说&
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
