联邦学习安全防御之差分隐私

已于 2023-02-18 20:06:23 修改
阅读量6k 收藏 68
点赞数 12
分类专栏: 隐私计算 文章标签: 联邦学习 横向联邦学习 纵向联邦学习 迁移学习 人工智能
于 2022-04-11 19:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wutianxu123/article/details/124092828
版权

本博客地址:https://security.blog.csdn.net/article/details/124092828

一、集中式差分隐私

集中式差分隐私是建立在两个相邻数据集D和D′之上的,相邻数据集是指D和D′之间仅有一条数据不相同,差分隐私技术使得用户无法从获取的输出数据中区分数据是来源于数据集D,还是数据集D′,从而达到保护数据隐私的目的。

基于差分隐私的随机梯度下降算法(DP-SGD)与传统的随机梯度下降算法(SGD)的主要不同点在于DP-SGD算法在每一轮迭代过程中都会进行梯度裁剪和添加高斯噪声。

基于差分隐私的深度学习训练算法如下:

---------------------------------------------------------------------
input:训练样本数据:gif.latex?%5Cleft%20%5C%7B%20%28x_1%2C%20y_1%29%2C%20%28x_2%2C%20y_2%29%2C%20......%2C%20%28x_N%2C%20y_N%29%20%5Cright%20%5C%7D ;
           损失函数:gif.latex?%5Cpounds%20%280%29%20%3D%20%5Cfrac%7B1%7D%7BN%7D%20%5Csum_%7Bi%3D1%7D%5EN%20%5Cpounds%20%28%5Ctheta%20%3B%20x_i%2C%20y_i%29 ;
           学习率:gif.latex?%5Ceta%20_t
           梯度裁剪边界值:C;
           高斯噪声标准差:gif.latex?%5Csigma,每一轮的训练样本大小:B;
output:模型参数:gif.latex?%5Ctheta%20_T

随机初始化模型参数 gif.latex?%5Ctheta%20_0
for 对每一轮的迭代 t=1,2,.....,T,执行下面的参数更新 do
        从样本集中随机挑选大小为 B 的集合 gif.latex?B_t
        for 对每一个样本 gif.latex?i%20%5Cin%20B_t  do
                求取梯度值:gif.latex?g_t%28x_i%2C%20y_i%29%20%5Cleftarrow%20%5Cbigtriangledown%20%5Ctheta%20_t%28%5Cpounds%20%28%5Ctheta%3B%20x_i%2Cy_i%29%29
                # 该步骤是DPSGD算法的核心操作
                梯度裁剪:max%281%2C%20%5Cfrac%7B%5Cleft%20%5C%7C%20g_t%28x_i%2C%20y_i%29%20%5Cright%20%5C%7C_2%7D%7BC%7D%29
        end
        # 该步骤是DPSGD算法的核心操作
        将梯度聚合并添加高斯噪声:gif.latex?%5Ctilde%7Bg%7D_t%20%5Cleftarrow%20%5Cfrac%7B1%7D%7BB%7D%20%5Cleft%20%5C%7B%20%5Csum_%7Bi%7D%20%5Ctilde%7Bg%7D_t%20%28x_i%2C%20y_i%29%20+%20N%280%2C%20%5Csigma%20%5E2C%5E2I%29%20%5Cright%20%5C%7D
        更新模型参数:gif.latex?%5Ctheta%20_t%20%5Cleftarrow%20%5Ctheta%20_%7Bt-1%7D%20-%20%5Ceta%20_t%5Ctilde%7Bg%7D_t
end
---------------------------------------------------------------------

二、联邦差分隐私

与集中式差分隐私相比,在联邦学习场景下引入差分隐私技术,除了需要考虑数据层面的隐私安全,还需要考虑用户层面的安全问题。其不但要求保证每一个客户端的本地数据隐私安全,也要求客户端之间的信息安全,即用户在服务端接收到客户端的本地模型,既不能推断出是由哪个客户端上传的,也不能推断出某个客户端是否参与了当前的训练。

客户端的联邦差分隐私算法如下:

---------------------------------------------------------------------
input:客户端ID:k ;
            全局模型:gif.latex?%5Ctheta%20_0 ;
            模型参数:学习率:gif.latex?%5Ceta,本地迭代次数 E ;
            每一轮的训练样本大小:B ;
output:模型更新:gif.latex?%5Cbigtriangleup%20%5Ek%20%3D%20%5Ctheta%20-%5Ctheta%20_0

利用服务端下发的全局模型参数 gif.latex?%5Ctheta%20_0,并更新本地模型 gif.latex?%5Cthetagif.latex?%5Ctheta%20%5Cleftarrow%20%5Ctheta%20_0
for 对每一轮的迭代 t=1,2,.....,T,执行下面的操作 do
        将本地数据切分为 |B| 份数据 B
        for 对每一个 batch gif.latex?b%5Cin%20B do
                执行梯度下降:gif.latex?%5Ctheta%20%5Cleftarrow%20%5Ctheta%20-%5Ceta%20%5Cbigtriangledown%20l%28%5Ctheta%20%3Bb%29
                参数裁剪:gif.latex?%5Ctheta%20%5Cleftarrow%20%5Ctheta_0%20+clip%20%28%5Ctheta%20-%5Ctheta%20_0%29
        end
end
---------------------------------------------------------------------

服务端的联邦差分隐私算法如下:

---------------------------------------------------------------------
input:训练样本数据:gif.latex?%5Cleft%20%5C%7B%20x_1%2C%20x_2%2C......%2C%20x_N%20%5Cright%20%5C%7D ;
            损失函数:gif.latex?L%280%29%3D%5Cfrac%7B1%7D%7BN%7D%20%5Csum_%7Bi%3D1%7D%5E%7BN%7D%20L%28%5Ctheta%20%3Bx_i%29 ;
            学习率:gif.latex?%5Ceta%20_t ;
            梯度裁剪边界值 C ;
            噪声参数:gif.latex?%5Csigma,每一轮的训练样本大小:B ;


随机初始化模型参数 gif.latex?%5Ctheta%20_0
定义客户端权重:客户端 gif.latex?c_i 对应的权重为 gif.latex?w_k%20%3D%20min%28%5Cfrac%7Bn_k%7D%7B%5Chat%7Bw%7D%7D%2C1%29
gif.latex?W%3D%5Csum_%7Bk%7D%20w_k
for 对每一轮的迭代 t=1,2,.....,T,执行下面的参数更新 do
        以概率 q 挑选参与本轮训练的客户端集合 gif.latex?C%5Et
        for 对每一个用户 gif.latex?k%20%5Cin%20C%5Et do
                执行本地训练:gif.latex?%5Cbigtriangleup%20_k%5Et%20%3D%20ClientUpdate%28k%2C%20%5Ctheta%20_%7Bt-1%7D%29
        end
        聚合客户端参数:gif.latex?%5Cbigtriangleup%20%5Et%20%3D%20%5Cleft%5C%7B%5Cbegin%7Bmatrix%7D%20%5Cfrac%7B%5Csum%20_%7Bk%20%5Cin%20c%5Et%7Dw_k%20%5CDelta%20_k%5Et%7D%7BqW%7D%20%26%2C%20for%20%5Ctilde%7Bf%7D_f%20%5C%5C%20%5Cfrac%7B%5Csum%20_%7Bk%20%5Cin%20c%5Et%7Dw_k%20%5CDelta%20_k%5Et%7D%7Bmax%28qW_%7Bmin%7D%2C%5Csum%20_%7Bk%20%5Cin%20c%5Et%7Dw_k%29%7D%20%26%20%2C%20for%20%5Ctilde%7Bf%7D_c%20%5Cend%7Bmatrix%7D%5Cright.
        对 gif.latex?%5CDelta%20%5Et 值进行裁剪:max%281%2C%20%5Cfrac%7B%5Cleft%20%5C%7C%20%5CDelta%20%5Et%20%5Cright%20%5C%7C%7D%7BC%7D%29
        求取高斯噪声的方差:gif.latex?%5Csigma%20%3D%5Cleft%5C%7B%5Cbegin%7Bmatrix%7D%20%5Cfrac%7BzS%7D%7BqW%7D%20%26%2Cfor%20%5Ctilde%7Bf%7D_f%20%5C%5C%20%5Cfrac%7B2zS%7D%7Bmax%28qW_%7Bmin%7D%29%7D%20%26%20%2Cfor%20%5Ctilde%7Bf%7D_c%20%5Cend%7Bmatrix%7D%5Cright.
        更新全局模型参数:gif.latex?%5Ctheta%20_t%20%5Cleftarrow%20%5Ctheta%20_%7Bt-1%7D%20+%20%5CDelta%20%5Et%20+N%280%2C%20I%5Csigma%20%5E2%29
end
---------------------------------------------------------------------

三、差分隐私防御的具体实现

3.1、配置信息

已对代码做出了具体的注释说明,具体细节阅读代码即可。

conf.json

{
	"model_name" : "resnet18",
	"no_models" : 10,
	"type" : "cifar",
	"global_epochs" : 100,
	"local_epochs" : 3,
	"k" : 2,
	"batch_size" : 32,
	"lr" : 0.01,
	"momentum" : 0.0001,
	"lambda" : 0.5,
	// dp必须设置为True
	"dp" : true,
	// C是裁剪边界值
	"C" : 1000,
	"sigma" : 0.001,
	"q" : 0.1,
	"W" : 1
}

3.2、客户端

相比于常规的本地训练,其主要修改点是在每一轮的梯度下降结束后,对参数进行裁剪。

client.py

import models, torch, copy

class Client(object):
	def __init__(self, conf, model, train_dataset, id = -1):
		self.conf = conf
		self.local_model = models.get_model(self.conf["model_name"]) 
		self.client_id = id
		self.train_dataset = train_dataset
		
		all_range = list(range(len(self.train_dataset)))
		data_len = int(len(self.train_dataset) / self.conf['no_models'])
		train_indices = all_range[id * data_len: (id + 1) * data_len]

		self.train_loader = torch.utils.data.DataLoader(self.train_dataset, batch_size=conf["batch_size"], 
									sampler=torch.utils.data.sampler.SubsetRandomSampler(train_indices))
									
	def local_train(self, model):

		for name, param in model.state_dict().items():
			self.local_model.state_dict()[name].copy_(param.clone())
			
		optimizer = torch.optim.SGD(self.local_model.parameters(), lr=self.conf['lr'], momentum=self.conf['momentum'])
		self.local_model.train()
		for e in range(self.conf["local_epochs"]):
			
			for batch_id, batch in enumerate(self.train_loader):
				data, target = batch
				if torch.cuda.is_available():
					data = data.cuda()
					target = target.cuda()
			
				optimizer.zero_grad()
				output = self.local_model(data)
				loss = torch.nn.functional.cross_entropy(output, target)
				loss.backward()
				optimizer.step()
				
				if self.conf["dp"]:
					model_norm = models.model_norm(model, self.local_model)
					
					norm_scale = min(1, self.conf['C'] / (model_norm))
					for name, layer in self.local_model.named_parameters():
						clipped_difference = norm_scale * (layer.data - model.state_dict()[name])
						layer.data.copy_(model.state_dict()[name] + clipped_difference)
						
			print("Epoch %d done." % e)	
		diff = dict()
		for name, data in self.local_model.state_dict().items():
			diff[name] = (data - model.state_dict()[name])
			
		return diff

3.3、服务端

服务端侧对全局模型参数进行聚合时添加噪声,噪声数据由高斯分布生成。

server.py

import models, torch

class Server(object):
	def __init__(self, conf, eval_dataset):
	
		self.conf = conf 
		self.global_model = models.get_model(self.conf["model_name"]) 
		self.eval_loader = torch.utils.data.DataLoader(eval_dataset, batch_size=self.conf["batch_size"], shuffle=True)
		
	def model_aggregate(self, weight_accumulator):
		for name, data in self.global_model.state_dict().items():
			update_per_layer = weight_accumulator[name] * self.conf["lambda"]
			if self.conf['dp']:
				sigma = self.conf['sigma']
				if torch.cuda.is_available():
					noise = torch.cuda.FloatTensor(update_per_layer.shape).normal_(0, sigma)
				else:
					noise = torch.FloatTensor(update_per_layer.shape).normal_(0, sigma)
				update_per_layer.add_(noise)
			
			if data.type() != update_per_layer.type():
				data.add_(update_per_layer.to(torch.int64))
			else:
				data.add_(update_per_layer)
				
	def model_eval(self):
		self.global_model.eval()
		total_loss = 0.0
		correct = 0
		dataset_size = 0
		for batch_id, batch in enumerate(self.eval_loader):
			data, target = batch 
			dataset_size += data.size()[0]
			
			if torch.cuda.is_available():
				data = data.cuda()
				target = target.cuda()
			output = self.global_model(data)
			
			total_loss += torch.nn.functional.cross_entropy(output, target,
											  reduction='sum').item()
			pred = output.data.max(1)[1]
			correct += pred.eq(target.data.view_as(pred)).cpu().sum().item()

		acc = 100.0 * (float(correct) / float(dataset_size))
		total_l = total_loss / dataset_size

		return acc, total_l

基于差分隐私联邦学习数据隐私安全技术
罗伯特技术屋
08-23 918
联邦学习系统中一般假定服务器端是非恶意的,但这样的假设不能防范“诚实但好奇”(Honest but Curious)的服务器,这类服务器端虽然确实完成了应有的聚合任务,不会对模型性能发起攻击造成破坏,也不会破坏模型的可用性,但是会尝试窃取参与方本地数据集中的数据,破坏参与方数据的机密性,威胁数据参与方的隐私安全。从图中可以看出,在同样的迭代轮次中,随着添加的拉普拉斯噪声标准差逐渐增大,即随着隐私预算的减小,训练模型的准确率有明显的降低。纵向联邦学习横向联邦学习相反,是根据特征分布来进行学习的。
联邦学习中安全与隐私实施概述
Galaxylx的博客
11-09 959
联邦学习(FL)基于“联邦”和“分而治之”理念构建机器学习模型。在这一过程中,众多参与者各自拥有不与模型管理者共享的数据,他们期望通过整合彼此数据来联合训练模型。具体而言,每个参与者利用其私有数据在本地训练模型,并将更新发送至模型管理者。模型管理者则通过平均更新的方式来更新全局模型,并且要求全局模型的精度应与集中式训练的模型精度相近,以此实现基于分布式数据集的模型构建,同时确保数据隐私得到有效保护。综上所述,当前安全防御解决方案虽能有效应对拜占庭和模型中毒等安全攻击,但仍面临诸多挑战。
【无标题】
weixin_52369224的博客
04-27 983
基于神经网络的机器学习技术在很多领域均取得了重要成果。模型训练使用的大型数据集经常包含敏感信息。这些模型不应公开这些数据集中的私有信息。为了达到这个目标,作者针对模型学习差分隐私开销分析,研究了新的算法技术。作者通过实验验证了,在适度的隐私预算、可控的软件复杂度、训练效能和模型质量限制下,算法依然可以训练非凸目标的深度神经网络。本文证明了在满足差分隐私的条件下对深度神经网络进行训练,关于具有很多参数的模型的隐私损失较小。
隐私保护联邦学习差分隐私原理
whdeast的博客
11-28 5562
联邦学习中的隐私保护方法之差分隐私,包含差分隐私的原理以及深度学习联邦学习中的差分隐私技术
隐私计算之联邦学习联邦学习三要素
zyjwjck的博客
03-15 1066
有了底层的联邦协议的支持,就可以构建对应联邦算法来解决实际的问题了,从机器学习算法演化出的联邦学习算法,即以多个参与方组成联邦的方式,从多个参与方各自拥有的数据源,训练机器学习的模型,并使用模型进行应用的特定的机器学习算法。所以,这些模型的设计上,会引入特别的设计,尤其以跨特征的联邦学习为代表(一条数据的特征分别出自不同的参与方),并设计独特的数据加密、交换顺序,以完成模型的训练。对应的,在模型的应用阶段,也需要通过联邦平台取得各个联邦参与方的子模型返回(跨特征的模型),进而合并成最终的结果。
联邦学习差分隐私
威化饼的一隅
10-17 9455
联邦学习过程   联邦学习以轮为单位,每个轮内包含模型分发、本地训练和全局更新这3个阶段。 1. 模型分发   在模型分发阶段,服务器按照一定标准,选择参与本轮联邦学习的设备,例如下图中选中了3个设备,向它们分发全局模型。 2. 本地训练   在本地训练阶段,每个设备加载当前全局模型,使用自己的训练数据训练,得到新的本地模型。 3. 全局更新   在全局更新阶段,每个设备向服务器上传模型更新值,服务器收集更新值进行聚合,得到聚合结果,更新全局模型。 下一轮,服务器会将新的全局模型发送给选中的设备
联邦学习差分隐私
Abstinence277的博客
10-17 768
假设现在有一个婚恋数据库,2个单身8个已婚,只能查有多少人单身。刚开始的时候查询发现,2个人单身;现在张三跑去登记了自己婚姻状况,再一查,发现3个人单身。所以张三单身。张三:样本。
联邦学习(FL)+差分隐私(DP)
m0_50609661的博客
07-11 1万+
联邦学习+差分隐私(FL+DP)
联邦学习差分隐私的结合
AI智能涌现深度研究
03-31 1308
联邦学习差分隐私的结合 作者:禅与计算机程序设计艺术 1. 背景介绍 随着互联网和移动设备的快速发展,海量的个人数据不断被产生和积累。如何在保护个人隐私的同时,从这些分散的数据中挖掘有价值的信息,成为当前人工智能和大数据领域面临的重要挑战。传统的集中式机器学习模型要求将所有数据集中
谁在偷看你的数据?联邦学习差分隐私的安全真相
在信息的熵增中,记录结构、重建秩序。 技术思想者的笔记,系统构建者的注释。
03-28 2855
在AI模型迈向边缘化、个性化、行业化的道路上,“看似安全”的机制本身也可能是隐私泄漏的载体。联邦学习需要的不只是“数据不出本地”,而是“梯度不泄私密”;差分隐私的强度不能靠“ε越小越好”来简单决策;真正的安全,是机制 + 工程 +监控 + 法规 的立体博弈。模型不是隐私的替代者,而是隐私博弈的核心棋子。
联邦学习安全与隐私保护综述
11-16
联邦学习是一种分布式机器学习技术,它允许多...未来的研究方向可能包括进一步提高差分隐私技术的实用性、优化同态加密和安全多方计算方案的效率,以及在更复杂和动态的联邦学习环境中测试和验证这些防御方案的有效性。
Awesome-Differential-Privacy:差分私有机器学习
05-30
差分隐私 差分隐私学习与集成 1.直观的解释 2.学术论文 2.1 调查 差分隐私的算法基础 差分隐私和应用 CCS、S&P、NDSS、USENIX、Infocom 中的差异隐私论文 SoK:差异隐私 2.2 课程 差异隐私研讨会,秋季 19/20 CSE 660 秋季 2017 cs295-数据隐私 隐私研究小组 CS 860-私有数据分析算法-2020年秋季 2.3 一些机制 集中差分隐私:简化、扩展和下限 2.4 2015-2019 年 CCS、S&P、NDSS、USENIX、Infocom 中的差异隐私(其中一些来自 2020 年) 民意调查 3. 视频 差分隐私的最新进展 II 差分隐私的最新发展 I 采样隐私放大与人一差分隐私 差分隐私:从理论到实践 4. 代码 4.0 代码实现DP算法 4.1 K-匿名算法 4.2 随机响应 4.3 拉普拉斯和指数机制 4
联邦学习如何保护隐私?
百态老人的博客
03-11 841
联邦学习(Federated Learning)是一种分布式机器学习方法,允许多个参与方在不共享原始数据的情况下协同训练模型。其核心思想是“数据不动,模型动”,即数据保留在本地,只有模型的更新参数在网络上传输,从而保护数据隐私并解决数据孤岛问题。​初始化​:在中央服务器上创建一个全局模型,并将其参数发送给各个客户端。​本地训练​:每个客户端使用本地数据集对模型进行训练,更新模型参数。​参数聚合。
使用Python实现LLM的联邦学习差分隐私与安全聚合
二进制的梦想
01-21 1380
我们使用一个简单的Transformer模型作为大语言模型。为了简化实现,我们使用Hugging Face的# 加载预训练的BERT模型和分词器本文详细介绍了如何使用Python实现基于差分隐私和安全聚合的联邦学习框架,并应用于大语言模型的训练。通过引入差分隐私和安全聚合技术,我们能够在保护数据隐私的同时,实现高效的分布式模型训练。未来,随着联邦学习技术的不断发展,我们期待在更多实际应用场景中看到其广泛的应用。
联邦学习入门笔记(三)— 基于差分隐私的FL(i)
热门推荐
wenzhu2333的博客
11-21 1万+
本文主要介绍了笔者对于将差分隐私联邦学习相结合以保护客户端隐私这一类办法的理解,可能不太对(笔者也是在读研究生,关于我页面有我的联系方式,可以互相交流),但是也算是对笔者最近读的文章涉及到DP和FL的相关文章的一个总结。 最近好久没更新博客了,主要是因为这一个多月研究生开学,事情比较多,再加上自己的电脑拆机的时候不小心把螺丝拧坏了一直没去处理(最近才弄好),所以导致将近2个月没更新文章。 笔者最近在研究将差分隐私联邦学习相结合以保护客户端隐私的相关方向,大概看了有一个多月的文章,算是对这种保护方法有一
联邦学习+差分隐私的几种差分隐私类型
最新发布
weixin_74009895的博客
04-11 329
采用“客户端 - 可信服务器”二元拓扑结构。客户端将原始数据集传输至服务器,服务器运用全局敏感度计算噪声量级,再采用拉普拉斯机制或高斯机制对聚合数据施加扰动。其优势在于能利用全局数据计算扰动,隐私保护效果较好;缺点是依赖可信服务器,若服务器不可信,数据隐私易泄露。适用于对服务器信任度高、数据集中处理的场景。
模型训练数据隐私保护:差分隐私联邦学习的应用
AI天才研究院
02-28 1335
1. 背景介绍 1.1 数据隐私保护的重要性 随着大数据和人工智能技术的快速发展,数据已经成为企业和个人的重要资产。然而,数据泄露和隐私泄露事件层出不穷,给企业和个人带来了巨大的风险。因此,如何在保证数据利用的同时,保护数据隐私成为了一个亟待解决的问题。
联邦学习入门笔记(四)— 基于差分隐私的FL(ii)
wenzhu2333的博客
05-03 6090
本文详细介绍了DP(差分隐私)+FL(联邦学习)的实现方法,笔者经过一年多的学习,基本上摸清了这个领域的一些套路,这里做一个总结。
差异私有联邦学习:客户端级别
m0_72913514的博客
09-27 2215
提出了一种将dp保持机制整合到联邦学习中的算法,确保学习的模型不会显示客户端是否参与了分散训练。客户机的整个数据集受到保护,以防止来自其他客户机的不同攻击。
联邦学习的安全挑战与隐私保护策略
目前的研究已经提出了一系列防御策略,包括使用差分隐私技术来增加攻击者推断单个数据点信息的难度,应用同态加密确保模型更新在传输过程中的安全性,以及利用安全多方计算进行安全的参数聚合。然而,这些方法各有优...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

武天旭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值