提示:该论文标题为Privacy-Preserving Asynchronous Grouped Federated Learning for IoT,我将对其进行部分翻译,便于后续阅读。
面向物联网的隐私保护异步分组联邦学习
摘要
联邦学习(FL)是一种协作式分布式学习框架,已广泛应用于各种智能物联网(IoT)应用中(例如,智能医疗、智能家居和智能工业)。然而,在这些物联网应用中可能存在恶意设备,它们可能推测其他设备的隐私或破坏上传的模型参数。此外,由于物联网设备的异质性,现有的同步联邦学习难以通过非独立同分布(non-IID)的本地数据集有效训练模型。为了解决这些问题,我们提出了一种面向物联网的隐私保护异步分组联邦学习框架(PAG-FL),使多个设备和服务器能够在不泄露隐私的情况下协作高效地训练模型。PAG-FL框架由基于自适应Rényi 差分隐私的隐私预算分配(ARB)协议和异步基于权重的分组更新(AWGU)算法组成。特别地,ARB协议应用了Rényi差分隐私,并自适应调整隐私预算以获得高效的本地模型。AWGU算法通过对分组的本地模型加权生成全局模型,能够防御针对非IID数据集的投毒攻击。同时,该算法通过采用懒加载策略实现了异步优化更新。从理论上讲,该框架在异步联邦学习中对非IID数据集的训练具有收敛性保证和隐私保证。我们的实验证明了该理论设计的有效性,并展示了PAG-FL在异构物联网中的实用性和鲁棒性提升。
一、引言
贡献
- 我们设计了一种自适应的隐私预算分配协议,以在全局模型的效用和隐私保证之间进行权衡。服务器根据每个本地模型在公共验证数据集上的准确性,动态调整相应模型的隐私预算。随后,在本地训练阶段根据服务器分配的隐私预算应用 RDP 机制。据我们所知,这是首次在联邦学习中研究基于动态 RDP 的隐私预算分配协议。
什么是隐私预算?
在差分隐私中,隐私保护主要通过对数据添加噪声来实现。隐私预算(ε)控制了添加噪声的量,从而平衡了隐私和数据的有用性。它控制了系统能够容忍的隐私泄露程度。隐私预算越小,隐私保护越强,反之,隐私预算越大,系统的效用(如模型准确性)也通常越高。因此,隐私预算分配的关键任务是找到隐私保护与模型效用之间的平衡。
- 我们提出了一种异步分组更新算法,能够防御投毒攻击并解决非独立同分布(non-IID)问题。具体来说,本地模型可以根据每个本地模型在公共验证数据集上的准确性进行分组和加权,以生成全局模型。此外,每个设备在本地训练阶段结束后,直接将本地模型推送到服务器,无需长时间与服务器保持连接。接着,每个设备主动从中央服务器请求最佳模型。该算法可以增强联邦学习的鲁棒性。
- 从理论上讲,所提出的 PAG-FL(由 ARB 和 AWGU 组成)在非IID数据集上的训练过程中具有收敛性保证和隐私保证。我们的实验证明了理论设计的有效性,并展示了 PAG-FL 在异构物联网中的效用和鲁棒性提升。
二、相关工作
C. 创新点
为了避免现有物联网联邦学习(FL)中基于差分隐私(DP)和基于密码学的方法的缺点,我们将 Rényi差分隐私(RDP)应用到我们的框架中,以实现强隐私组合结果。我们设计了一种基于自适应RDP的隐私预算分配协议,因为直接使用RDP无法使模型收敛到最优解。我们的框架使服务器能够根据每个本地模型在公共验证数据集上的准确性,动态调整相应模型的隐私预算,从而在全局模型的效用和隐私保证之间进行权衡。接着,本地模型在本地训练阶段根据分配的隐私预算进行扰动。
此外,为了避免现有异步联邦学习(AFL)的缺点,我们的框架可以根据每个本地模型在公共验证数据集上的准确性,将本地模型分组并加权以生成全局模型。每个设备在本地训练阶段结束后,直接将本地模型推送到服务器,无需长时间与服务器保持连接。接下来,每个设备主动从中央服务器请求最佳模型。
小结:(1)将RDP结合进联邦学习的本地训练(2)优化RDP,使之与联邦学习更好地结合(3)为了应对异步的缺点,使用分组策略
不知道懒加载的优势是如何体现的?
PAG-FL 框架 (本文所提框架)
在本节中,我们展示了 PAG-FL 的威胁模型和核心设计,以及框架中的核心协议和算法。表 I 列出了一些关键参数。
A. 威胁模型
PAG-FL 框架主要面临两类威胁:1)模型逆向攻击,2)模型投毒攻击。
- 模型逆向攻击:在我们的框架中,假设模型参与者是半诚实的,即参与者会诚实地执行联邦训练操作,但会对其他本地设备的私有数据感到好奇,并可能通过上传的模型参数或梯度来恢复其训练的原始数据。
- 模型投毒攻击:一些恶意参与者可能会篡改模型参数,或使用不准确的标签训练他们自己的本地模型。这些恶意参与者的目标是偏离全局模型的收敛方向。
B. PAG-FL 的核心设计
C. ARB Protocol
D. AWGU Algorithm
总结
分别对本地和中心服务器都进行了改进。本地模型更新结合了差分隐私;全局模型更新时用到了额外的辅助数据集,同时通过设计的策略实现异步更新。