参考论文FedMDFG: Federated Learning with Multi-Gradient Descent and Fair Guidance (AAAI-2023)
背景
随着人工智能技术的飞速发展,隐私保护和数据安全越来越受到重视。联邦学习(Federated Learning, FL)作为一种分布式隐私保护的机器学习框架,通过让数据留在本地设备上,仅共享模型参数而非原始数据,显著降低了隐私泄露风险。然而,这一技术并非毫无漏洞,联邦学习仍然面临诸多安全威胁,现有的 FL 协议设计已被证明容易受到系统内部或外部的对手的攻击,从而损害数据隐私和系统稳健性。如何应对这些威胁成为了一个重要的研究方向。
联邦学习的安全攻击也常叫“中毒攻击”,这种攻击旨在损害联邦学习系统的稳健性、破坏和干扰联邦学习的正常进行,或者是故意使坏让联邦学习的模型可用性变得极低。常见的攻击手段有:
-
模型投毒攻击(拜占庭攻击):恶意的client上传随机的模型参数/梯度给server,干扰FL的聚合效果。
-
后门攻击(特洛伊木马攻击),例如,攻击者给训练数据/模型加入隐秘的后门,并在预测阶段通过触发简单的后门触发器完成恶意攻击,意图让FL模型预测出攻击者所设定的错误标签。
-
女巫攻击:攻击者伪造大量的虚假用户加入FL,以在FL中获得更高的主导地位,或者将其真实的攻击行为给隐藏起来。
这些安全攻击手段极大地威胁了联邦学习,一定程度上加剧了联邦学习很难在真实应用场景下推广难的问题。因为在现实场景中,server、client的成分很复杂,总会存在一些恶意攻击者要破坏FL的正常运行。
联邦学习安全防护
目前学界提出了很多应对联邦学习安全威胁的应对方案。例如将同态加密、安全多方计算等结合到FL里面,采用复杂的密码协议为FL保驾护航,减轻客户端的恶意行为。但这会带来显著的计算开销,以至于损害系统性能。
另外也有人提出利用区块链来增加FL参与用户的可信度,比如说这篇文章:Defending Against Poisoning Attacks in Federated Learning with Blockchain。
但无一例外的是,这些方法都极大增加了联邦学习系统的复杂性。机缘巧合地,我发现前面读的那篇基于多目标优化的联邦学习算法FedMDFG,文章里面恰好讨论了方法对于应对联邦学习安全攻击的能力。
FedMDFG的文章解读可以参考我前面那篇博客:
该方法简言之,就是设计了一种具有理论保障的方法,能够计算一个公平的梯度下降方向来更新模型,如下图所示:
从FL安全防护的角度来看,这方法恰好能简单有效地应对模型投毒攻击、后门攻击,以及女巫攻击。这是因为,即便恶意用户上传错误的模型参数/梯度,抑或是故意安插后门,修改label,或者是试图主导FL,在FedMDFG面前,都会失效。这得益于更新方向对于所有用户而言都是梯度下降以及公平的。例如,有10个用户,其中8个都是恶意用户,那么,FedMDFG得到的更新方向,对于剩下的那两个个非恶意用户A和B而言,依旧是梯度下降的,依旧能够提升FL模型在该用户上的性能表现,模型依旧能在A和B上具有泛化性。
文章做了以下实验来分析FedMDFG的应对安全攻击的表现,它模拟了三种攻击手段:
-
恶意用户上传随机的梯度给server;
-
恶意用户故意增大梯度的norm并上传给server,意图主宰FL;
-
恶意用户上传一个全0向量作为梯度给server。
实验结果如下图:
可以看到,FedMDFG成功地防住了这三种攻击,表现出不错的鲁棒性。
后记
由此可见,将多目标优化与联邦学习结合,是一种非常实用的方法。它不但能够具有理论保障地改善联邦学习的公平性,使得联邦学习在non-IID的场景下表现更佳,同时还能很好地抵御联邦学习的安全攻击。我后面将持续关注在更复杂的攻击手段面前的应对之法,也希望这篇文章在帮助自己记录学习点滴之余,也能帮助大家!
