一 联邦学习
分布式深度神经网络,通过n个参与者对本地数据进行训练然后把本地和全局模型的差异聚合到全局模型,私有数据从未离开参与者的机器,所有能够保护参与者的隐私
上面公式n可以是很大的一个数,在t回合选择m个参与者并向他们发送全局模型Gt到他们的本地,在根据本地数据训练成Lt+1,本地把两者的差距发送到服务中心,上面的差距可以应用一个随机数来缩放,这个主要是中心来优化并生成新的模型Gt+1,如果η = n/m,模型将会完整地被当地所有模板的平均值所替代,因为当地模板和全局模板的差距前面的系数变成1/m。有些任务需要更低的η去聚合,当n等于10的8次方的时候又需要更大的η,这样子才能产生当地对全局模型的影响。
下面这个是本地生成模型的算法
初始化两个值,第一个全局模型,第二个是本地数据集D在模型L的损失函数,并且用梯度下降的方法去优化当地模型,最后返回训练完的模型。
二 后门攻击综述
(1)威胁模型
攻击者:控制一个或者多个参与者
-
控制妥协参与者的本地训练数据
-
控制当地训练程序或者参数
-
在模型提交前修改模型的权重
-
改变训练的次数
注意,攻击者不控制聚合算法,也不控制良性参与者的训练。和传统的毒性攻击的区别,毒性攻击控制训练数据的重要部分,相比联邦学习的攻击只是控制一个或者少数参与者的整个训练过程。
(2) 攻击的目标
传统毒性攻击在于在大部分输入空间改变模型的表现
- 全局模型在主任务和后门任务都要保持高的准确率
- 攻击者提交的更新不应该在其他参与者那里提示异常并当作异常
- 全局模型在攻击之后多轮都保存搞得后门准确率
ÿ