摘要:联邦学习实现了各参与方在不泄露原始数据的前提下联合建模,很大程度上解决了分布式数据隐私的问题,但随着研究的深入,联邦学习还存在着隐私推断攻击或恶意客户端投毒攻击等安全问题。现有联邦学习改进方案大多仅从隐私保护或抗投毒攻击方面进行改进,不能兼顾两种攻击,为了同时解决联邦学习中的推断攻击和投毒攻击,提出了一个隐私保护的抗投毒攻击联邦学习方案 (APFL),设计了一个模型检测算法,使用差分隐私技术,根据模型间余弦相似度赋予各客户端相应聚合权重,使用同态加密技术将本地模型加权聚合。在MNIST和CIFAR10数据集上的实验表明,APFL在保证数据隐私的同时,能有效筛选恶意模型,抵御投毒攻击;投毒比例不超过50%时,APFL的模型性能与无投毒攻击环境下联邦平均聚合 (FedAvg)方案一致,模型测试错误率较Krum方案平均降低19%,较FLTrust方案平均降低9%。
文章目录
0 概述
1 相关工作
1.1 基于异常检测的联邦学习
1.2 基于差分隐私的联邦学习
1.3 基于同态加密的联邦学习
2 预备知识
2.1 联邦学习
2.2 本地差分隐私
2.3 同态加密
3 系统架构与安全模型
3.1 系统架构
3.2 威胁模型
3.3 设计目标
4 方案设计
4.1 方案概述
4.2 客户端本地训练算法
4.3 服务器模型异常检测算法和筛选同态聚合算法
5 性能分析
5.1 抗投毒攻击分析
5.2 隐私保护分析
5.3 定性分析
6 实验分析
6.1 实验设置
6.1.1 实验环境
6.1.2 实验数据集
6.1.3 实验数据集
6.1.4 评价指标
6.2 实验结果
7 结束语
