1、现有工作的不足
1)共享模型的误解
大多数文献认为共享模型等同于共享梯度,但在联邦学习中,通常会使用多个epoch,且只能在梯度下降的单个步骤中本地访问梯度,实际上没有严格的原始定义的梯度被传输到服务器;只有模型更新(本地与上一轮服务器的全局模型之间的增量)被传到服务器。
注:Epoch(时期)的说明:
1、epoch是什么?
当一个完整的数据集通过了神经网络一次并且返回了一次,这个过程称为一次epoch。(也就是说,所有训练样本在神经网络中都进行了一次正向传播 和一次反向传播 );再通俗一点,一个Epoch就是将所有训练样本训练一次的过程。
然而,当一个Epoch的样本(也就是所有的训练样本)数量可能太过庞大(对于计算机而言),就需要把它分成多个小块,也就是就是分成多个Batch 来进行训练。
2、为什么共享模型中使用多于一个epoch?
在神经网络中传递完整的数据集一次是不够的,而且我们需要将完整的数据集在同样的神经网络中传递多次。但请记住,我们使用的是有限的数据集,并且我们使用一个迭代过程即梯度下降来优化学习过程。随着epoch数量增加,神经网络中的权重的更新次数也在增加,曲线从欠拟合变得过拟合。epoch的数量虽数据集的不同而不同。
2)目前一些泄密方式
1、计算梯度:文献 “A Framework for Evaluating Client Privacy Leakages in Federated Learning” 利用已知学习率的模型更新来计算梯度,但对多个epoch来说结果不准确。
2、直接破解原始数据:“See through Gradients: Image Batch Recovery via GradInversion”和“Protect Privacy from Gradient Leakage Attack in Federated Learning” 不估计梯度,根据模型更新来重建原始数据。
3)错误估计隐私泄露的威胁
没有考虑在实践中威胁多严重。即使在直接梯度共享的假设下,也只造成了非常有限的隐私泄露:主要验证在全梯度下降中重建一个/多个图像的效率,且不能证明重建的图像可以被人类识别。攻击的是更脆弱的模型和共享梯度(研究倾向于忽略联邦学习训练之后的模型状态,也更倾向于未经训练的(利用使用广泛的权重显式初始化的)神经网络)
4)防御机制性能较差
现有的针对梯度反转攻击来设计的防御(有额外开销/损坏全局效益),但没有证明DLG攻击的数据重建可行性,因此,可以采用更轻量级的新防御机制,不会引入额外开销或训练完成后牺牲全局的效益。