最新论文笔记(+18):Threats to Federated Learning: A Survey

已于 2024-04-11 20:23:05 修改
阅读量5.8k 收藏 21
点赞数 1
分类专栏: 联邦学习 论文笔记 文章标签: 深度学习 人工智能 联邦学习 安全与隐私
于 2022-02-22 17:39:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a33280000f/article/details/123049926
版权

Threats to Federated Learning: A Survey (联邦学习面临的威胁:一项调查)

本篇文章是2020年发表在arXiv上的论文,介绍了联邦学习存在的隐私威胁问题,是一篇还不错的综述论文,对理解投毒攻击和推理攻击有很大帮助,以下是我个人看论文的重点记录,可能也有理解不对的地方,建议看原文!

文章目录预览

一、背景与介绍

通过摘要可以得知,由于传统机器学习模型集中训练方法面临强大的隐私挑战,联邦学习可能是一种解决方案。但是,现有的联邦学习协议已经证明存在漏洞,攻击者可以利用这些漏洞破坏数据隐私。因此,未来联邦学习算法设计对隐私保护的影响是至关重要的。本篇文章主要介绍了联邦学习的概念,然后提供了一个独特的分类方法,覆盖了威胁模型和联邦学习的两种主要攻击:投毒攻击推理攻击。并在最后讨论了未来的研究方向。

根据数据特征和数据样本在参与者中的分布情况,联邦学习分为水平联邦学习(HFL)和垂直联邦学习(VFL)和联邦迁移学习(FTL)。进一步根据参与者的数量、联邦学习训练的参与等级和技术能力,又将HFL分为HFL对企业(H2B),HFL对消费者(H2C)。
在这里插入图片描述

  • H2B模式,少数参与者,经常被选中,参与者具有显著的计算能力和复杂的技术能力。
  • H2C模式,成千上万参与者,每一轮训练只选择其中一个子集,计算能力普遍不高。

1.2 联邦学习中的隐私泄露

  • 训练过程中交流模型更新仍然可以揭示敏感信息。
  • 即使是原始梯度的一小部分,也可能揭示本地数据的信息。
  • 恶意攻击者可以在几次迭代中安全窃取梯度中的训练数据。
    联邦学习协议设计可能包含两方面的漏洞:
  • (1)潜在的恶意服务器,可以随着时间的推移观察个人更新,篡改训练过程,并控制参与者对全局参数的视图;
  • (2)任何可以观察全局参数并控制其参数上传的参与者。例如,恶意参与者故意改变输入,或在全局模型中引入隐蔽的后门。

本文调查了对联邦学习威胁的最新进展,仅关注内部对联邦学习系统发起的两种特定威胁:

  • (1)试图阻止一个模型被学习的投毒攻击,或使模型产生比敌手更可取的推论;
  • (2)推理攻击了参与者的隐私。

二、威胁模型

2.1 内部和外部

  • 内部攻击包括:联邦学习服务器、联邦学习参与者。
  • 外部攻击包括:在参与者和服务器之间发起攻击的窃听者,和最终联邦学习模型作为服务器部署时用户发起的攻击。

内部攻击通常比外部攻击更强,因为它严格地增强了敌手的能力。本文重点集中在内部攻击上,内部攻击可采取以下三种形式之一:

  • 1)单一攻击:一个单独的、非合谋的恶意参与者旨在导致模型对一组选择的高可信度输入进行错误分类;
  • 2)拜占庭攻击:拜占庭式的恶意参与者可能的行为是完全任意的,将其输出调整为与正确模型更新具有相似的分布,这使得它们很难被检测到。
  • 3)女巫攻击:敌手可以模拟参与者账号,或者选择之前被攻破的参与者对联邦学习发动更强大的攻击。

2.2 半城实和恶意

  • 在半城实环境下,敌手被认为是被动的或者是诚实且好奇的。 他们试图在不偏离联邦学习协议的情况下了解其他参与方的私人状态。假设被动敌手只观察聚合或平均梯度,而不观察其他诚实参与者的训练数据和梯度。
  • 在恶意的环境下,积极或恶意的敌手试图了解诚实参与者的私有状态,并通过修改、重放或删除消息任意偏离联邦学习协议。这种强大的敌手模型允许敌手进行特别具有破坏性的攻击。

2.3 训练阶段和推理阶段

  • 在训练阶段的攻击,试图学习、影响或破坏联邦学习模型本身。在训练阶段,攻击者可以进行数据投毒攻击以破坏训练数据集的完整性,或模型投毒攻击以破坏学习过程的完整性。攻击者还可以对单个参与者的更新或对来自所有参与者的更新的聚合发起一系列推理攻击。
  • 在推理阶段的攻击被称为规避\探索攻击,通常不会篡改目标模型,而是导致它产生错误的输出(目标\非目标),或收集关于模型特征的证据。此类攻击的有效性在很大程度上取决于敌手可获得的关于模型的信息。推理攻击分为白盒攻击(即完全访问联邦学习模型)和黑盒攻击(即只能查询联邦学习模型)。

三、投毒攻击

根据攻击的目标,投毒攻击可分为随机攻击针对性的攻击

  • 随机攻击:降低联邦学习模型的准确性。
  • 针对性的攻击:诱导联邦学习模型输出敌手指定的目标标签。

针对性的攻击比随机攻击更难,因为攻击者有一个特定的目标要实现。在训练阶段,可以对数据和模型执行投毒攻击。
在这里插入图片描述

  • 1)数据投毒:本地数据采集过程中的数据投毒攻击,分为两类

    • clean-label:假设敌手不能更改任何训练数据的标签,因为这个过程,数据被认证为属于正确的类别,并且数据样本中毒必须是难以察觉的。
    • dirty-label:敌手可以将大量它希望的目标标签错误分类的数据样本引入到训练集中。一个常见的例子是标签翻转攻击。一个类的诚实训练示例的标签被翻转到另一个类,而数据的特征保持不变。
      任何FL参与者都可以进行数据中毒攻击。对FL模型的影响取决于系统中参与者参与攻击从程度,以及被毒害的训练数据的数量。

  • 2)模型投毒:局部模型训练过程中的模型投毒攻击,模型投毒攻击的目的是在将本地模型更新发送到服务器之前对其进行投毒,或者在全局模型中插入隐藏的后门。在目标模型中毒中,敌手的目标是导致FL模型对一组选择的高可信度输入进行错误分类。通过分析一个有针对性的模型中毒攻击,证明了模型中毒攻击比FL设置中的数据中毒更有效,其中一个单一的、非合规性的恶意参与者在导致模型对一组选择的高可信度输入进行错误分类。

这两种投毒攻击都试图以某种不可取的方式修改目标模型的行为。若敌手可以破坏FL服务器,那么他们很容易地对训练有素的模型进行有针对性和非针对性的投毒攻击。

四、推理攻击

在FL训练过程中交换梯度会导致严重的隐私泄露问题,模型更新可能会泄露参与者训练数据的非预期特征的额外信息给敌手参与者。
在这里插入图片描述
敌手还可以保持FL模型参数的snapshot,并利用连续snapshot之间的差异进行属性推理,该差异等于所有参与者的聚合更新减去敌手的更新。
在这里插入图片描述

主要原因是梯度是由参与者的私有数据导出的。类似地,对于卷积层,权值的梯度是来自上一层的误差和特征的卷积。模型更新的观察可以用来推断大量的私有信息,比如类代表、成员以及与训练数据子集相关的属性。更糟糕的是,攻击者可以从共享的梯度中推断出标签,并恢复原始的训练样本,而不需要任何关于训练的先验知识。

4.1 推理类的代表

Hitaj等人设计了一种主动推理攻击,称为生成对抗网络(GAN)攻击深层FL模型。在这里,恶意参与者可以有意地危害任何其他参与者。GAN攻击利用了FL学习过程的实时特性,允许敌对方训练GAN,生成目标训练数据的原型样本,这些样本应是私有的。生成的样本似乎来自与训练数据相同的分布。因此,GAN攻击的目标不是重构实际的训练输入,而是类代表。GAN攻击假设给定类的整个训练语料库来自单个参与者,只有在所有类成员都相似的特殊情况下,GAN 构造的代表才与训练数据相似,而且GAN攻击不太适合H2C场景,因为它需要大量的计算资源。

4.2 推理成员

成员推理攻击的目的是确定它是否被用来模型。例如,攻击者可以推断特定的患者概要文件是否被用于训练与疾病相关的分类器。在FL中,敌手的目标是推断一个特定样本是否属于单个方(如果目标更新是单个方)或任何一方(如果目标更新是聚合)的私有训练数据。
FL系统中的攻击者可以进行主动和被动的成员推断攻击。

  • 在被动情况下,攻击者只需观察更新后的模型参数并进行推理,而不改变局部或全局协同训练过程中的任何内容。
  • 在主动情况下,攻击者可以篡改FL模型训练协议,并对其他参与者进行更强大的攻击。具体来说,攻击者共享恶意更新,并迫使FL模型共享攻击者感兴趣的参与者本地数据的更多信息。这种攻击称为梯度上升攻击,利用了SGD优化在与损失梯度相反的方向上更新模型参数的事实。

4.3 推理属性

敌手可以发动被动和主动的属性推断攻击,以推断其他参与者的训练数据的属性,这些属性独立于FL模型的类特征。属性推理攻击假设敌手有辅助训练数据,这些数据正确地标记了他想要推断的属性。被动敌手只能观察/窃听更新,并通过训练二进制属性分类器来执行推理。敌对的参与者甚至可以在训练过程中推断出某一属性何时在数据中出现或消失。

4.4 推理训练输入和标签

Zhu2019等人的最近工作“梯度深层渗漏”(DLG)提出了一种优化算法,该算法可以在短短几代迭代中获得训练输入和标签。这种攻击比以前的方法强得多。它可以恢复像素级精确的原始图像和标记级匹配的原始文本。推理攻击通常假设敌手拥有复杂的技术能力和大量的计算资源。此外,必须选择敌手进行多次FL训练。因此,它不适合H2C场景,但在H2B场景下更有可能。此类攻击还突出了在FL训练期间保护共享梯度的需要,可能通过同态加密等机制来实现。

五、讨论及未来发展方向

为了提高FL系统的鲁棒性,还存在一些潜在的漏洞需要解决。下面作者概述了认为有前途的研究方向。

5.1 维数灾难

具有高纬参数向量的大型模型特别容易受到隐私和安全攻击。大多数FL算法需要用全局模型覆盖局部模型参数。这使得它们容易受到中毒和后门攻击,因为敌手可以在高维模型中进行微小但具有破坏性的更改而不被检测到。为解决FL的这些基本缺点,值得探讨的是共享模型更新是否必要。相反,以黑盒方式共享较不敏感的信息(如SIGNSGD或仅共享模型预测可能会导致FL中更强大的隐私保护。

5.2 对VFL的威胁

在VFL中,可能只有一方拥有给定学习任务的标签。目前还不清楚是否所有参与者都具有同等的攻击FL模型的能力,以及对HFL的威胁是否能够对VFL起作用。目前的大多数威胁仍然集中在HFL上。因此,对VFL的威胁是值得探讨的。

5.3 具有异构架构的FL

共享模型更新通常仅限于同构的FL架构,相同的模型与所有参与者共享。研究如何将FL扩展到异构架构的协作训练模型将是有趣的,以及现有的攻击和隐私技术是否可以适应这一范式。

5.4 去中心化联邦学习

目前正在研究不需要单个服务器的去中心化联邦学习。这是一个潜在的学习框架,用于不相信任何第三方的企业之间的合作。在这个场景中,每个参与方都可以轮流的方式被选为服务器。此外,它可能会存在新的攻击问题,例如最后被选为服务器的一方选择插入后门,则可能会污染整个模型。

5.5 当前防御脆弱性

具有安全聚合的联邦学习特别容易受到投毒攻击,因无法检测单个更新。目前尚不清楚对抗训练是否适用于联邦学习,因为对抗训练主要是针对IID数据开发,它在非IID设置中如何执行仍然是一个具有挑战性的问题。

5.6 优化防御机制部署

当部署防御机制检测是否有敌手攻击联邦学习系统时,联邦学习服务器将需要额外的计算开销。研究如何优化部署防御机制具有重要意义。

cryptocxf
关注
  • 1
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Federated-Learning:联邦学习
05-17
Federated Learning 人工智能(Artificial Intelligence, AI)进入以深度学习为主导的大数据时代,基于大数据的机器学习既推动了AI的蓬勃发展,也带来了一系列安全隐患。这些隐患来源于深度学习本身的学习机制,无论是在它的模型建造(训练)阶段,还是在模型推理和使用阶段。这些安全隐患如果被有意或无意地滥用,后果将十分严重。 联邦学习是一种 隐私保护、数据本地存储与计算 的机器学习算法。 文献参考 Part 1: Introduction Part 2: Survey Federated Machine Learning: Concept and Applications Threats to Federated Learning: A Survey Survey of Personalization Techniques for Federated Lear
联邦学习Federated Learning)】- 从基本分布式思想开始理解联邦学习
1+1=王的博客
03-24 3880
机器学习和人工智能的成功离不开大量的数据,但随着人工智能在各行各业的应用落地,人们对于用户隐私数据保安全的关注度也在不断提高。如何在遵守更加严格的、新的隐私保护条例的前提下,解决数据碎片化和数据隔离的问题,是当前人工智能研究者必须解决的问题。在以上的背景基础下,人们开始寻求一种不必将所有数据集中到一个中心存储点就能够训练机器学习模型的方法。联邦学习旨在建立一个基于分布数据集的联邦学习模型。
【Paper Reading】Privacy-Preserving Aggregation in Federated Learning: A Survey
lunan的博客
10-02 750
联邦学习中的Aggregation方面的隐私保护问题相关的Survey
005 Threats to Federated Learning(便于寻找:攻击模型)
Uzz_yuzaizai的博客
05-31 264
传统的集中式机器学习无法支持这种无处不在的部署和应用,这是由于基础设施的缺陷,如有限的通信带宽、间歇性的网络连接、严格的网络约束。 分类:水平(HFL)、垂直(VFL)、迁移(FTL) 水平联邦学习可以分为商业(H2B)和消费者(H2C) H2B参与者通常很少,可以经常被选择在联邦学习中被培训,具有显著的计算能力和复杂的技术能力。 H2C有数千甚至数百万的潜在参与者,在每一轮训练中,只选择了其中一个子集。因为他们的数据集往往很小,所以参与者被反复选中参加联邦学习训练的概率很低。通常...
联邦学习应用思考:需求还是方法?
AI科技大本营
12-02 514
作者 |徐葳清华大学交叉信息研究院长聘副教授、华控清交首席科学家前言:目前,“联邦学习”这个术语在市场上存在很多认识上的误解和混淆,主要原因是其既在广义上表达了保护数据前提下联合多方数...
Federated Learning 入门论文整理.doc
03-10
联邦学习综述论文简单总结(免费)。如何允许多个数据所有者协作培训和使用共享的预测模型,同时保持所有本地培训数据的私密性?传统的机器学习方法需要将所有数据集中在一个位置,通常是一个数据中心,这很可能违反了用户隐私和数据保密性方面的法律。目前,世界上许多地方要求科技公司根据用户隐私法仔细对待用户数据。
学习笔记 | Threats to Federated Learning-A Survey
freya0112的博客
03-24 524
摘要 文章意图让研究者意识到联邦学习隐私保护的重要性,并对攻击进行分类: poisoning attacks投毒攻击 inference attacks推断攻击 引言 联邦学习的分类 horizontally federated learning (HFL):数据有相同的特征但用户不同。数据集往往很小,所以一个数据被反复训练的概率是很低的,它计算能力有限、技术能力较低。 vertically federated learning (VFL):数据有部分重叠,但特征空
7篇ICLR论文,遍览联邦学习最新研究进展
喜欢打酱油的老鸟
05-03 3812
2020-04-30 13:10:54 机器之心分析师网络 作者:仵冀颖 编辑:H4O 本篇提前看重点关注 ICLR 2020 中关于联邦学习Federated Learning)的最新研究进展。 2020 年的 ICLR 会议原计划于4 月 26 日至 4 月 30 日在埃塞俄比亚首都亚的斯亚贝巴举行,这本是首次在非洲举办的顶级人工智能国际会议,但受到疫情影响,ICL...
论文笔记】A survey on federated learning (综述)
LOG_IN_ME的博客
04-15 1201
Author Chen Zhang, Yu Xie, Hang Bai, Bin Yu, Weihong Li, Yuan Gao Keywords Federated learning; Privacy protection; Machine learning Abstract 联邦学习是在一个中央聚合器的协调下多客户协作解决机器学习问题的机制。它还允许数据分散训练以确保每个设备的数据隐私联邦学习基于两个主要思想:本地计算、模型传输,减少了一些由传统的集中式机器学习方法带来的系统性的...
联邦学习论文整理
weixin_43773486的博客
01-14 1760
部分联邦论文整理-仅供参考-附其他人的整理工作-持续更新..
federated-learning:关于联邦学习的所有内容(论文,教程等)-联邦学习
05-13
联邦学习 Federated Learning Everything about federated learning. Your contribution is highly valued! 关于联邦学习的资料,包括:介绍、综述文章、最新文章、代表工作及其代码、数据集、论文等等。 欢迎一起贡献! 目录 1. 教程 Tutorial 文字 PPT (AAAI-19) (AAAI-19) 视频 GDPR, Data Shortage and AI (AAAI-19 Invited Talk) 新闻 2019/02/09 谷歌发布全球首个产品级移动端分布式机器学习系统,数千万手机同步训练 2. 相关论文 Related Papers 综述与介绍 Survey And Introduction arXiv 201912 - Advances and Open Problems in Fede
联邦半监督学习综述(A Survey towards Federated Semi-supervised Learning).pdf
02-28
人工智能(AI)的成功应该在很大程度上归功于丰富数据的可获得性。然而,实际情况并非如此,行业中的开发人员常常面临数据不足、不完整和孤立的情况。因此,联邦学习被提议通过允许多方在不显式共享数据的情况下协作构建机器学习模型,同时保护数据隐私,来缓解这种挑战。
YourFritz:AVM路由器的动态软件包管理
05-03
AVM表示,他们会发布带有用于构建系统的开源文件的程序包,但是由于切换到内核版本3.10.73,所以这些源程序包非常不完整(至少我认为它们是...无法从这些来源编译正在运行的内核,而我不是唯一遇到此类问题的内核)...
Security threats to automotive CAN networks—Practical examples a
10-02
Security threats to automotive CAN networks—Practical examples and selected short-term countermeasures.zip
改善Web应用程序安全性:威胁和对策Improving Web Application Security: Threats and Countermeasures
11-15
在.NET应用程序中实现基本安全性原则的权威指南。 本指南可帮助您设计,构建和配置具有抗黑客攻击能力的Web应用程序,以减少成功攻击的可能性。
基于机器学习的物联网安全技术:物联网设备如何使用AI增强安全性-研究论文
05-20
本研究论文调查了IoT系统与AI合作使用的模型,以增强设备的安全性。 该报告还回顾了以机器学习技术为重点的IoT安全解决方案,其中包括加强学习,无监督学习和监督学习。 本文还重点介绍了基于机器学习(即AI)的IoT...
最新论文笔记(+19):TrustFed: A Framework for Fair and Trustworthy Cross-Device Federated Learning in IIoT
热门推荐
cryptocxf的博客
04-03 1万+
TrustFed: A Framework for Fair and Trustworthy Cross-Device Federated Learning in IIoT "译为“TurstFed:在工业物联网中一种公平可信的跨设备联邦学习框架” 这篇文章是IEEE Transactions on Industrial Informatics 21上的一篇联邦学习和区块链相结合应用到物联网中的文章。总体来看,本文内容还不错,明确指出了现存的主要问题,并针对这几个问题进行了解答,对读者的帮助还是很大的,但是
最新论文笔记(+14):精选12篇区块链与可搜索加密相结合论文进行汇总与概括
cryptocxf的博客
07-31 1万+
精选12篇区块链与可搜索加密相结合的论文 本篇博文将汇总12篇区块链与可搜索加密相结合的论文,包括之前已经发布的几篇“最新论文笔记”和还未上传的几篇论文笔记(感觉大都差不多就不再详细记录)。以下会按照时间顺序进行汇总,只会做个简单介绍,想了解具体的内容,建议看原文献,下面也会给出相应的标题和链接供参考。 全片分为两个部分: 简要信息:包括每篇文献的标题、作者 \ 年份、来源(期刊或会议名称)和原文链接。 文献概括:包括每篇文献的背景动机、简要内容和区块链起到的作用。 一、12篇论文简要信息 序号
The+Internet+is+full+of+threats.+Security+is+one+of+the+major+concerns+for+communication+on+the+Inte
最新发布
11-27
网络安全是互联网通信的一个主要问题,因为互联网充满了各种威胁。为了确保在线安全,人们可以采取以下措施: 1.使用强密码,并定期更改密码。 2.使用双因素身份验证。 3.避免在公共网络上发送敏感信息。 4.使用防病毒软件和防火墙保护设备。 5.使用HTTPS协议保护网站和应用程序。 6.定期备份数据以防止数据丢失。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值