题目:
0.Abstract
联邦学习(FL)最近被提出作为一种新兴的范式,使用分布式训练数据集构建机器学习模型,这些数据集本地存储和维护在5G网络的不同设备上,同时为参与者提供隐私保护。在FL中,中央聚合器积累由参与者上传的本地更新来更新一个全局模型。
有两个关键的安全威胁:中毒&成员推理攻击。这些攻击可能由恶意或不可靠的参与者执行,导致全球模型的构建失败或FL模型的隐私泄漏。因此,FL发展安全防御手段至关重要。
在本文中,我们提出了一个基于区块链的安全FL框架来创建智能合同,并防止恶意或不可靠的参与者参与FL。文本使用的技术:(1)中央聚合器通过自动执行智能合同来抵御中毒攻击来识别恶意和不可靠的参与者。(2)我们使用局部差异隐私技术来防止成员推理攻击。
数值结果表明,该框架可以有效地防止中毒和成员推理攻击,从而提高了5G网络中FL的安全性。
1.Introduction
由于第四代(4G)网络的通信延迟和网络带宽限制,持有计算能力有限的智能设备的移动用户不能完全参与分布式机器学习任务。幸运的是,在第五代(5G)网络中,由于通信延迟和网络带宽造成的瓶颈将被克服。因此,可以关注解决性能,并可以解决分布式机器学习的效率问题。因此,移动设备将能够参与分布式机器学习。
FL执行的过程分为三个阶段:初始化、聚合和更新阶段。
(1)在初始化阶段,中央聚合器在每个设备的公共数据集(如MNIST,2CIFAR-103)上提供一个预先训练过的全局模型。然后,每个设备在每次迭代中使用5G网络在局部数据集上训练和改进当前的全局模型。
(2)在聚合阶段,中央聚合器从设备中聚合局部模型更新(即梯度信息)。
(3)在更新阶段,中央聚合器聚合所有本地模型更新,以为下一次迭代生成一个新的全局模型。
设备和中央聚合器都重复上述过程,直到全局模型达到一定的精度或最优收敛性。该范例通过将模型训练与对原始训练数据的直接访问解耦,显著降低了隐私泄漏的风险。
目前FL的两大挑战:中毒 & 成员推断攻击。
(1)中毒:如果发生中毒攻击,不可靠的设备提交“错误更新”,FL模型将被“中毒”。一个恶性的攻击将导致FL全球模型更新的失败。
(2)成员推断攻击:在成员推理攻击的情况下,由于训练模型中的中间梯度总是包含丰富的语义信息(例如,模型参数),对手可以利用反向工程技术来访问一些敏感信息(例如,训练数据的原始分布)。
因此,在本研究中,我们提出了一个基于区块链的安全FL框架来创建智能合同的方案,以抵御中毒攻击,并引入局部差异隐私技术来减轻推理攻击。
在5G通信系统中,任务发布器通常可以部署在具有足够存储和数据处理能力的边缘节点上,而移动设备可以很容易地访问边缘节点来训练本地模型。拟议的框架创建了一个市场,熟练解决FL问题的参与者可以直接从智能合同中获利。
主要贡献:
- 我们设计了一个基于区块链的FL框架,以实现安全可靠的FL以及对中毒攻击的全面防御。
- 我们引入了局部差异隐私技术作为抵御FL模型的成员推断攻击的防火墙。
- 我们创建了一个市场,赋予解决FL问题的参与者可以直接从他们的技能中受益。这将提供一个值得信赖的平台来激励参与者创建更好的FL模型。
2.联邦学习及其威胁联邦学习及其在5个全球网络中的应用场景
联邦学习是一个协作式的机器学习框架,不需要集中的训练数据。在FL中,本地设备通过中央聚合器从5G网络下载全局模型,然后这些设备通过使用它们的本地原始数据来训练和改进当前的全局模型。通常,每个设备使用分布式随机梯度下降(D-SGD)算法训练其局部模型,并将模型更新(即梯度信息)上传到一个中央聚合器。聚合器通过收集所有本地更新并计算这些本地模型更新的平均值来更新一个新的全局模型。联邦学习的目标是在本地存储在分布式设备中的数据集上建立机器学习模型,而不损害隐私。
以下列出了5G网络中一些典型的FL应用场景:
- 物联网(IoT):字节锁和联想提出了一种名为联邦智能物联网的技术,它不仅使5G网络中的物联网设备能够相互学习,而且还使在物联网设备上利用本地机器学习模型成为可能。在这种情况下,FL可以应用于在不损害个人隐私的情况下构建个性化的语音助手。
- 车辆联网(IoV):中国深圳市政府与滴滴出行、哈喽单车公司等商业组织合作,开展基于5G网络物联网的实时交通流量预测[1]。同时,通用数据保护条例(GDPR)5禁止任何组织因担心隐私泄露而直接交易个人数据。因此,FL可以应用于建立一个交通流量预测模型,不仅可以提高预测精度,还可以保护个人隐私。
3.威胁与对策
尽管FL在与5G网络相关的场景中有许多很有前途的应用,但有两个威胁已被确定为其全面部署的障碍。注意到假定中央聚合器不受损害或恶意,我们阐述了以下两种威胁:
- 威胁1:有恶意行为的参与者。在FL训练阶段,参与者可能有有意或无意的恶意行为。故意的恶意参与者可能会提交错误的模型更新,从而导致FL模型的更新失败。无意的恶意参与者可能会对全局模型更新上传模型更新,因为他们使用低质量的训练数据,可能会对全局模型更新产生负面影响。当中央聚合器收集这些本地模型更新来更新全局模型时,它最终会导致低精度,甚至是一个无用的全局模型。所有这些故意或无意的恶意行为都可能会“毒害”FL模型。总之,目前的FL模型依赖于一种信任机制,这使它很容易受到的中毒攻击。
- 威胁2:敏感信息的泄露。在FL中,每个参与者将其自己的本地训练模型的更新参数上传到中央聚合器。然而,现有的研究表明,对手仍然可以发起成员推理攻击,从与本地数据相关的更新参数中获取敏感信息。具体来说,对手可以利用5G网络中的网络窥探攻击所披露的敏感信息来威胁FL模型的隐私。
为了解决中毒袭击的问题,在[7],Kang等人。探索使用区块链来建立一个去中心化的市场,使用身份和声誉系统来阻止中毒攻击。然而,这种方法倾向于从具有高声誉价值的参与者那里上传更新的梯度方向,这导致了FL的泛化能力较差。此外,对于局部敏感信息泄漏问题,现有的研究表明,差分隐私技术是[10]的最佳解决方案之一。因此,我们引入了一种局部差异隐私技术来解决中毒攻击问题。在上述考虑的指导下,我们概述了所提出的FL框架中的主要目标:
- 为基于区块链的FL框架中的参与者建立一个公平的交易市场。基于以太坊,所提出的框架可以为匿名协作训练的FL模型创建一个市场。请注意,所提出的框架也可以应用于其他区块链平台。在这个市场上,诚实的参与者可以通过为FL问题提交正确的解决方案来获利。为了确保框架的安全性,中央聚合器会基于智能合约来验证本地模型的更新。该框架中参与者之间的相互信任的需要被消除了,因为该协议使用加密身份验证来保护所有事务。
- 保护FL中的敏感信息。在所提出的框架中,参与者通过应用局部差分隐私技术,在他们的模型更新中添加了精心设计的噪声。它利用一些噪声添加机制(如高斯噪声机制或拉普拉斯噪声机制)来保护模型参数。因此,即使对手获得了噪声添加梯度信息,他们也无法恢复原始模型参数和局部数据。
3.安全的联邦学习框架
我们首先描述了在提出的安全联邦学习(SFL)框架中使用的相关概念和术语:
- 智能合约:基于区块链的以太坊实现智能合约
- 钱包地址:存储奖励的以太坊的托管账户
- 任务发布者:可以发布FL任务并与中央聚合器交互的任何人
- 中央聚合器:负责聚合设备上传的模型更新并与任务发布者交互的实体
- 设备:在FL中涉及的5G网络中的一个物理实体
- 本地模型:设备与本地数据进行训练的模型
- 全局模型:由任务发布器为设备发布的初始全局模型;在模型迭代期间由中央聚合器更新
- 模型更新:由局部模型训练生成的梯度信息
- 数据点:由输入和输出组成的点
- 数据组:由数据点组成的矩阵
图1进一步说明了所提出的SFL框架的管道。在此框架下,
Phrase1,初始化。一个名为Bob的任务发布者创建了一个智能合同,包括一个测试数据集、一个初始的全局模型、评估标准和一个奖励金额。以精度性能作为评价FL模型训练质量的评价标准。奖励是一种金钱奖励,比如ETH代币。上述智能合约已发布给以太坊区块链。中央聚合器向初始的全局模型发送给以太坊的参与者。
Phrase2,聚合。每个参与者下载初始的全局模型,以使用其本地数据集来训练本地模型。当一个设备成功地训练一个本地模型时,它会将其本地模型更新提交到以太坊区块链。所有以太坊区块链矿工都使用智能合同中的评估函数来评估所有上传的模型更新,并为每个上传的模型生成模型质量的平均值。我们注意到,与[6]类似,在所提出的框架中使用了一种联邦平均算法(即平均聚合)。参与者使用一种差分隐私技术,为上传的模型更新添加设计良好的噪音。高质量(即高精度)的模型更新具有更大的值,如果它们大于任务发布者确定的给定阈值,它们将被发送到中央聚合器。
Phrase3,更新。任务发布者从中央聚合器获取当前的全局模型,然后为下一轮的迭代训练做准备。
提出的SFL框架允许区块链参与者以不信任的方式实现局部模型训练。此外,参与者将得到他们对FL任务的高精度模型更新的奖励。
如图2所示。上述阶段的详细步骤描述如下。
总结
在本文中,我们解决了与确保5G网络中安全FL相关的数据隐私泄漏问题。我们提出了一个基于区块链的框架来抵御中毒攻击。在所提出的框架中,创建了一个基于区块链智能合约交易模型更新的市场,以自动验证模型更新的中毒攻击。此外,我们在智能契约中引入了局部差分隐私技术,以防止成员推理攻击。具体来说,我们在参与者上传的模型更新中添加了设计良好的高斯噪声,以抵御成员推理攻击。我们在两个数据集上验证了我们提出的安全框架,它产生了安全的FL到5G网络。
这项研究有几个有待解决的问题,有待进一步研究:
- 由于联邦平均算法用于聚合模型更新,因此我们遇到了对某些设备的不公平使用。
- 由于深度学习算法的使用增加了该系统的计算需求,因此出现了效率问题。
- 该框架的参与者越多,通信开销就越大,从而降低了FL的准确性。
这些都是在未来走向公平和有效的基于区块链的FL框架之上需要解决的许多问题之一。
4947
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
