文章提出了使用注意力机制来增强联邦学习的鲁棒性,抵御不同类型的攻击。通过在服务器端模拟各种攻击情况,训练模型以自监督方式识别良性更新。优化目标是使整体聚合接近良性聚合,采用中值函数和注意力模块对更新向量进行加权,通过余弦相似度计算客户端得分,以降低恶意更新的影响。然而,这种方法需要针对每种攻击的测试集,并可能不兼容某些安全聚合策略,可能存在隐私泄露风险。
个人阅读笔记,如有错误欢迎指出。
Arxiv 2021 [2102.05257] Robust Federated Learning with Attack-Adaptive Aggregation (arxiv.org)
问题:
联邦学习容易受到不同类别的攻击
创新:
使用注意力机制,防御多种攻击
在服务器中使用测试集模拟不同攻击下的联合学习任务,并收集更新向量,以自监督的方式训练模型。
方法:
良性聚合(剔除恶意模型外的良性模型的更新聚合)
优化目标:使整体聚合更贴近于良性聚合
由于客户端更新的向量到达顺序是不定的,且无法确定恶意更新,无法利用神经网络参数化指示函数。因此将指示函数改为可能性函数。
在向量坐标上取中值的函数(可用其他鲁棒的方法替代)
在迭代中,更新向量被概率
重新加权,该概率取决于
和
。这种重新加权的形式非常类似于神经网络中的注意力机制
注意力机制:客户端的更新向量经由注意力模块的多次传递得到其对应的评估得分
对齐得分。
Q:从上一个注意力模块获取的健壮聚合参数
K、V:客户端的更新
含义:计算Q和K之间的余弦相似度
目的:固定V,训练Q、K,使得良性客户端的对齐得分接近于1,恶意客户端的对其得分接近于-1
e保留了一定信息,并且当c较大时,中毒更新的权重较小,因此,注意力机制十分适合于健壮性聚合。又由于e的范围不适合于本文,加入了softmax中的温度超参数将权重范围映射到[-1,1]
截断
消除具有潜在大幅度的任何损坏的更新向量的影响
如果注意力权重小于阈值ε/nε/nε/nε/n,则将其归零
整体算法流程
实验:
总结
对客户端的更新向量加不同的注意力权重来避免恶意模型的融合。
但是需要对每一种攻击都需要相应的测试集提前在服务器上训练编码器,没细说具体的过程,并且和安全聚合策略不兼容,容易泄露隐私
7801
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
