LDS-FL: Loss Differential Strategy Based Federated Learning for Privacy Preserving

LDS-FL: Loss Differential Strategy Based Federated Learning for Privacy Preserving¹

一、背景介绍

1.1联邦学习(FL)存在的问题

1.尽管 FL 可以防止攻击者直接获取本地隐私数据，但研究人员还指出了 FL 中更深层次的隐私泄露：共享模型的泄露。由于过度拟合问题，ML 模型对所学数据总是具有更好的预测精度。因此，攻击者可以利用这种准确性差距，利用其共享模型逆向分析用户的隐私数据。
2.在实际场景中，当我们应用FL框架时，每个用户拥有的私有数据通常是Non-IID的，与IID相比，这种分布由于数据不平衡更容易发生隐私攻击，相关隐私攻击大致可以分为两类，分别是成员推理攻击和模型反演攻击
成员推理攻击(MIA)，攻击者试图确定一个特定的数据点是否在ML模型的训练集中使用过。Shroki等人提出了对ML模型的第一个MIA，利用阴影模型攻击来减轻先验的知识。
模型反演攻击，攻击者试图重建训练集的代表性样本，用于训练良好的ML模型。Fredrikson等人正式化了模型反演攻击，专门针对图像分类任务。攻击者生成带有随机噪声的虚假样本，查询模型获取样本属于目标类的概率，并使用梯度下降来优化更大的概率。

1.2联邦学习的隐私保护机制

1.安全多方计算（SMC）:
旨在允许多个参与者在不泄露各自私有输入的情况下进行计算。在SMC中，参与者共同执行一个计算任务，但每个参与者只能看到计算结果，而无法获知其他参与者的个别输入。

如图假设是求某一公司员工的平均工资，如果直接问员工工资的话，他们大概是不会告诉你，因此使用SMC，首先生成一个随机数r，让第一个员工将自己的工资和r相加等到r+x1，再传给第二个员工得到r+x1+x2，以此类推，最终得到的总数减去r的结果就是员工们的总工资，再除以n即得到平均工资，而这过程不泄露员工的工资信息。
不足：在计算资源上仍然会产生很大的开销，并且没有考虑到对手可以通过查询训练好的模型来发起黑盒统计攻击的场景，从而导致隐私泄露。
2.差分隐私（DP）:
DP通过向私有数据集添加一些噪音，使其与之前相比有所不同，然后在加密后的数据集上训练模型。
不足： DP存在选择隐私预算（即噪音的大小）的限制。很少有研究在将DP与FL结合训练深度学习模型时提供全局模型收敛保证的工作。

1.3隐私攻击

1.黑盒攻击模式：黑盒模式表明攻击者无法访问目标模型的内部结构，只能从目标模型中获取输出结果进行推理攻击。根据攻击模式，它们可以进一步分为基于决策的攻击和基于模型的攻击。
a.基于决策的攻击者基于训练数据集（提前获得）和测试数据集之间的不同表示，通过不断访问目标模型来构建二元分类器，并输出样本的隶属度分类。
b.基于模型的攻击者利用与私有数据集具有相同分布的先验数据集来构建阴影模型，使阴影模型学习与目标模型相似的行为，然后通过查询阴影模型输出判断。

2.白盒攻击模式:白盒模式假设攻击者事先知道目标模型的结构，并通过获取目标模型参数等信息来恢复完整的训练模型。通过基于不同数据隐藏层的输出构建二元分类器，可以暴露与成员相关的信息。Curious-but-Honest服务器可以接收上传的参数，严格遵守联邦学习的一致性，但试图同时找出其他个体的私人信息。

1.4对抗性知识

威胁模型包含以下实体
(1)访问目标模型Mtarget的预测结果，即输出标签Y’。
(2)与目标模型数据集D_target分布相似的阴影数据集D_shadow。
(3)阴影模型M_shadow在与目标模型结构相同的D_shadow上训练。
(4)从目标数据集中抽取辅助数据集作为公共数据集。
(5)对模型给出的参数θ和x计算的任何函数，包括隐藏层hi(x)等。

对于基于模型的黑盒攻击，攻击者具有上述知识(1)、(2)、(3)，而基于决策的黑盒攻击仅具有(1)的知识。此外，白盒攻击还具有(4)、(5)的额外知识。如何在多用户框架中的训练过程中同时保证彼此的隐私和模型精度仍然是一个问题。因此，在本文中，我们专注于上述问题，并提出了一种多用户参数替换算法，并展示了隐私保护和准确性在 FL 场景中的有效性。

二、内容分析

2.1隐私风险的观察和讨论

1.观察1
我们考虑一个使用Dpr进行本地训练的ML模型，并假设该模型过度拟合。攻击者将利用模型的白盒结构，使用包含成员（训练数据）和非成员数据部分的混合数据集Dj。由于过度拟合模型在损失值方面在训练数据和其他数据之间有明显的差异，攻击者可以用于进行成员推理。

2.观察2
我们考虑一个用于识别和分类任务的ML模型，由于某些数据集可能存在偏差采样问题，模型在训练过程中可以将一些不相关的特征与特定标签相关联，尤其是在过度拟合的情况下。例如，由于此类数据的偏差采样，模型可能总是将标签A与红色背景关联起来。当攻击者试图攻击标签A的用户时，他会生成一组具有随机标签和不同背景的测试数据。攻击者可能发现具有红色背景的数据的损失值总是与其他数据显著不同，显示出明显的损失差距。攻击者将结合背景信息和标签的特征，导致模型训练数据成员资格的泄漏。

前者是由于模型在训练数据和其他数据上的损失值不同，显示出明显的损失差距。后者是因为对于具有特定特征和没有特定特征的数据，损失存在明显差距。这种隐私泄漏风险在训练的早期阶段尤为明显。因此，我们试图从缩小损失差距的角度缓解这种隐私泄漏风险。基于对损失的讨论，我们尝试构建一个关于损失的ML模型表达式。

我们提出以下策略来构建不等式，改变特定模型在不同数据集上的性能，以达到我们想要的效果：

D_pu表示公共数据集，D_pr表示私有数据集，D_o表示不参与训练的数据集。我认为这个不等式应该是为了不让攻击者通过loss的观察来等到私有数据，L_Dpr不能比L_Dpu小，也不能比L_Do大。

2.2基于参数替换的联邦学习框架

下图是传统联邦学习框架

本文也提出了新的联邦学习框架，即基于参数替换的联邦学习框架

(1)每个用户(包括公共用户)利用自己的数据进行模型训练，并将Public-User0设为round₁的开始
(2)当前用户依次将模型传递给下一个私有用户。
(3)将θLD(损失差分参数)中的参数按其绝对值的下降顺序排序，并用下降顺序替换D*中的参数。当新参数满足用户隐私数据的隐私-准确性不等式时，参数的替换就结束了，使用这些参数的机器学习模型将被认为是用户隐私数据D_private的损失差分模型。
(4)用户在round_k−1中进行参数替换时，将替换后的模型作为私有模型存储,否则不存储。
(5)round_k后，当没有用户进行更换时，此更换操作终止，由round_k−1的结果推导出整个用户的私有模型。
(6) 聚合服务器将为该轮次聚合所有这些模型参数。

2.3损失差分多轮更新算法

输入：
θ_i：各客户端索引 i 范围从 1 到 k 的私有用户参数，
θ_pu：公共用户的参数，
u：参数数量
输出：聚合参数 θ*，代表本次全局迭代的结果

2.4LDS-FL中任意用户的LDS

输入：
公共用户参数θ_pu，
用户的私有参数θ，
公共用户的损失差分L_Dpu(F (x; θpu))，
公共用户的Lipschtiz常数αD_pu，
参数的数量u，
上传状态数组status_flag(用于标记参数是否已上传)
θ_LD←θ_pu
i←0
输出：表示将上传哪些参数的数组结果。

三、实验分析

3.1实验设置

数据集	内容
MNIST	70000张28 × 28像素的手写数字灰度图像组成，范围从1到10
Fashion-MNIST	它由70,000个灰度图像组成，像素为28×28，与10个类别的标签相关联，包括鞋子，衣服和手提包
CIFAR-10	由32 × 32 RGB格式的彩色图像组成，与10个类别的标签相关联，包括不同类型的动物和车辆
CIFAR-100	有100个类，每个类包含500个训练图像和100个测试图像。100个类被分成20个超类。每个图像都带有一个“精细”标签(它所属的类)和一个“粗糙”标签(它所属的超类)

评估指标：
1.Attack Accuracy:对于成员分类器，攻击精度是未知数据点的正确成员预测的分数，可以用我们构建的所有分类器的平均攻击精度来计算。
2.Attack Precision:我们使用Precision来表示成员分类器识别为成员的所有数据点中属于受害者数据集的数据的比例。
3.Attack Advantage:表示正确预测对受害者数据集的分数与其他数据集上正确预测的分数之间的差异。

3.1全局模型准确性的评估

我们发现 LDS-FL 框架可以实现类似于 FL 框架的收敛速度，并实现了类似的最高全局模型精度。我们的方法增加了在参与者之间替换模型参数的步骤。从实验结果来看，它不会导致较慢的收敛速度或精度损失，MNIST数据集下全局模型的ACC仅降低0.17%。

3.2保护机制的比较

在图 8 中，我们设置 δ = 0.01 并评估具有不同隐私级别 ε 的性能。当 ε 值变小时，模型精度会下降，直到它无法完全收敛。同时，我们还展示了DP在不同δ值下的性能，如图9所示。对于δ，我们固定ε =50，精度与δ正相关。

结果表明，DP机制的加入会对模型的全局收敛造成很大波动。连续添加噪声也会导致模型收敛的最终失败。对于 CIFAR-10 数据集上的 DP-FL 实验，我们注意到全局模型首先处于振荡状态，当 epoch 达到 29 时，局部参与者添加噪声后聚合的全局模型的准确性再次急剧下降，全局测试集的验证损失也太大且消失。如图 12 所示，对于 CIFAR-100，尽管 DP-FL 在表 II 中比 LDS-FL 实现了稍好的防御效果，但当全局 epoch 超过 40 时，它甚至可能不再收敛，我们相信精度损失可以忽略不计。因此，与本文提出的方法相比，LDS-FL 框架仍然有些逊于DP-FL。

3.3消耗时间

为了提高通信效率，我们改进了一种拓扑结构，其中用户以树状结构LDS-tree-like传播参数，可以将时间复杂度从O(n)降低到O(logn)。此外，我们还考虑了一种为每个参与者提供缓冲区的替代机制，称为LDS-pipeline。通过这种方法，参与者不必等待LD模型轮流转移，并且通信时间可以非常接近一般FL框架。

四、总结思考

本文的主要目的是权衡私有用户的隐私和联邦学习模型的准确性
作者提出了一种关于新的联邦学习框架LDS-FL，我总结以下几点：
1.引入了公共用户，公共用户的数据不存在隐私泄露风险，所训练的模型也不存在隐私泄露风险，这可以使得其他私有用户可以通过更新公共模型的参数从而保护个人隐私，我认为与安全多方计算有相似之处。
2.作者提出的联邦学习框架是将原来的并行联邦学习改为了串行联邦学习，这通信效率应该是会下降的，作者也提出如何平衡准确性、隐私性和通信效率是他们未来的工作之一。
3.在循环迭代更新模型参数时，用户的选择是如何选择的，作者应该是没有提到。
4.减少聚合器的工作。
5.我觉得这篇论文是有创新的，因为平时看到的联邦学习是并行的，本文是串行的，提供了一种新的思考方法，但可行性有待研究。

---

1. T. Wang, Q. Yang, K. Zhu, J. Wang, C. Su and K. Sato, “LDS-FL: Loss Differential Strategy Based Federated Learning for Privacy Preserving,” in IEEE Transactions on Information Forensics and Security, vol. 19, pp. 1015-1030, 2024, doi: 10.1109/TIFS.2023.3322328. ↩︎