分享自:

增强鲁棒性的隐私保护联邦学习对抗投毒攻击

期刊:IEEE Transactions on Information Forensics and SecurityDOI:10.1109/TIFS.2024.3402113

这篇文档属于类型a,即报告了一项原创性研究。以下是对该研究的学术报告:

研究作者与机构
本研究的主要作者包括Yinbin Miao、Xinru Yan、Xinghua Li、Shujiang Xu、Ximeng Liu、Hongwei Li和Robert H. Deng。他们分别来自西安电子科技大学、齐鲁工业大学(山东省科学院)、福州大学、电子科技大学和新加坡管理大学。该研究于2024年发表在《IEEE Transactions on Information Forensics and Security》期刊上。

学术背景
研究的核心科学领域是联邦学习(Federated Learning, FL),这是一种允许在分布式和隐私保护的数据源上协同训练模型的新范式。然而,随着联邦学习的广泛应用,投毒攻击(Poisoning Attack)威胁了模型的实用性。现有的防御方案存在一系列问题,包括低准确性、低鲁棒性以及对强假设的依赖,这些问题限制了联邦学习的实用性。为了解决这些问题,本研究提出了一种基于双服务器模型缩放点积注意力机制(Scaled Dot-Product Attention)鲁棒性增强的隐私保护联邦学习框架(RFed)

研究目标
本研究的主要目标是设计一种高效的防御机制,能够在保护用户隐私的同时,显著提高模型的准确性,并完全消除对强假设的依赖。通过正式的安全分析和广泛的实验,研究证明了该方案在保证隐私保护和模型准确性的同时,能够有效降低投毒攻击的成功率,确保投毒攻击的失败率高于96%。

详细工作流程
研究分为以下几个主要步骤:

  1. 系统模型设计
    研究采用双服务器架构,包括四个基本实体:密钥生成中心(KGC)、客户端、聚合服务器(S0)和协作服务器(S1)。KGC负责生成和分发公钥/私钥对,客户端在双服务器架构下协同训练全局模型,S0负责聚合客户端提交的更新,S1与S0协作执行计算协议,确保整个框架的拜占庭鲁棒性。

  2. 本地训练
    在每一轮全局通信中,客户端从S0获取全局模型,并使用本地数据集进行多次迭代训练,生成本地模型更新。然后,客户端使用S1的公钥加密本地更新,并发送给S0。

  3. 权重计算
    S0与S1交互以识别恶意客户端发起的投毒攻击,并为恶意客户端提交的梯度分配较低的权重。具体来说,S0对接收到的加密梯度进行混淆处理,然后发送给S1。S1使用私钥解密混淆后的梯度,并基于缩放点积注意力机制计算每个梯度的权重,最后将权重集发送回S0。

  4. 模型聚合
    S0根据S1返回的权重集,在密文域下更新全局模型。通过加权聚合方程,S0计算出新一轮的全局模型。

  5. 重加密协议
    为了使客户端能够正确解密全局模型,S0与S1执行重加密协议,将全局模型从S1的公钥加密转换为客户端的公钥加密,最终将重新加密的全局模型发送给所有客户端。

主要结果
1. 准确性提升
实验结果表明,RFed在MNIST、Fashion-MNIST和CIFAR-10数据集上均表现出较高的模型准确性。与现有的联邦学习防御方案(如Bulyan、Trimmed Mean、FLTrust和DNC)相比,RFed在处理标签翻转攻击和后门攻击时表现出更高的鲁棒性和准确性。

  1. 鲁棒性增强
    RFed通过缩放点积注意力机制,能够有效识别恶意梯度并降低其权重,从而显著降低投毒攻击的成功率。在标签翻转攻击中,RFed的最大攻击成功率仅为0.04;在后门攻击中,RFed同样表现出较强的防御能力。

  2. 隐私保护
    通过采用双服务器架构和CKKS同态加密方案,RFed在保证数据隐私的同时,显著降低了计算和通信开销。实验证明,RFed在隐私保护和模型准确性之间取得了良好的平衡。

结论与意义
本研究提出了一种基于缩放点积注意力机制和CKKS同态加密的鲁棒性增强的隐私保护联邦学习框架(RFed)。该框架不仅能够有效抵御恶意客户端的投毒攻击,还能在保证隐私保护的同时,显著降低计算开销。实验结果表明,RFed在处理标签翻转攻击和后门攻击时表现出较高的鲁棒性和准确性,其投毒攻击的失败率高于96%。此外,RFed的双服务器架构和CKKS同态加密方案进一步增强了系统的安全性和隐私保护能力。

研究亮点
1. 新颖的防御机制
RFed首次将缩放点积注意力机制引入联邦学习防御框架,通过动态调整梯度权重,有效识别并降低恶意梯度的影响。

  1. 双服务器架构
    研究采用双服务器架构,显著降低了单服务器模型的安全风险,并通过CKKS同态加密方案确保了数据隐私。

  2. 高效的隐私保护
    与传统的差分隐私(DP)和多方安全计算(SMC)相比,RFed在保证隐私保护的同时,显著降低了计算和通信开销。

  3. 广泛的实验验证
    研究在多个公开数据集(MNIST、Fashion-MNIST和CIFAR-10)上进行了广泛的实验,验证了RFed在处理标签翻转攻击和后门攻击时的鲁棒性和准确性。

其他有价值的内容
研究还探讨了未来改进方向,包括进一步提高RFed在恶意客户端比例超过50%时的鲁棒性,以及减少双服务器架构下的通信开销。这些改进方向为未来的研究提供了重要的参考。

这篇研究报告详细介绍了RFed框架的设计、实现及其在联邦学习中的应用价值,为相关领域的研究人员提供了重要的参考和启示。

上述解读依据用户上传的学术文献,如有不准确或可能侵权之处请联系本站站长:admin@fmread.com