论文笔记-联邦学习攻防研究综述
摘要:联邦学习用于解决数据共享与隐私安全之间的矛盾,旨在通过安全地交互不可逆的信息(如模型参数 或梯度更新)来构建一个联邦模型。然而,联邦学习在模型的本地训练、信息交互、参数传递等过程中依 然存在恶意攻击和隐私泄漏的风险,这给联邦学习的实际应用带来了重大挑战。 文章针对联邦学习在建模 和部署过程中存在的攻击行为及相应的防御策略进行了调研。 从机密性、可用性和正直性 3 个角度对联邦学习训练和部署中的攻击行为进行了分类 ; 从防御诚实但好奇(honest-but-curious)攻 击者和恶意攻击者两个方向对防御方法进行了划分,并分析了不同策略的防御能力 ;最后,探讨了联邦系统的防御策略在未来的发展方向。
引言
联邦学习攻防的基础知识
2.1 联邦学习
在训练的过程中,每个参与者基于本地数据 维护一个本地模型 ,而服务器则利用各种可能的聚合规则对本地模型进行聚合并得到全局模型。 联邦学习的整体流程图如下:
2.2 攻击模型
联邦学习中,攻击者的攻击面如下:
(1) 攻击者可以操纵原始数据收据和预处理,完成正直性攻击。
(2) 攻击者可以操纵本地模型训练,完成 正直性攻击和可用性攻击。
(3) 攻击者可以分析传递的模型参数,完成 机密性攻击。
(4) 攻击者可以干预模型参数聚合,完成正 直性和可用性攻击。
(5) 攻击者可以通过 API 接口,窃取模型的 具体参数,破坏机密性。
攻击能力
本文根据攻击者的方向,将攻击类型划分为 3 类。
(1) 机密性攻击,攻击者尝试从传递的数据 中推断隐私信息。
(2) 正直性攻击,攻击者尝试破坏联邦模型 在特定输入上的功能,而保证其在遇到其他输入 时正常输出。
(3) 可用性攻击,攻击者尝试阻碍正常参与 者构建或者访问一个有效联邦模型。
2.3 防御技术
差分隐私
如图 2 所示,考虑两个只相差一个样本的相邻数据集 #1 和 #2 ,差分隐私通过 向模型的输出上加入噪声,来使攻击者无法根据 输出结果从统计学上严格地区分两个数据集。差分隐私并不保护整体数据集的隐私安全,而是通过噪声机制对数据集中的每个个体的隐私数据进行保护。
联邦学习中的攻击策略
3.1 机密性攻击
重构攻击
重构攻击旨在利用联邦学习建 模过程中传递的模型信息重构出原始数据。 Zhu 等[73]提出了一种新的重构攻击策 略,并将它命名为梯度的深度泄漏攻击(Deep Leakage from Gradients, DLG),其旨在从传输的 梯度信息中恢复出原始数据 。
后门攻击
后门攻击最初在文献[66-67]中被提出,其旨 在向目标模型中注入后门,当模型遇到可以触发 后门的输入时,模型会输出攻击者设定的输出。本文根据攻击者的攻击能力将后门攻击划分成了 数据毒害攻击和模型毒害攻击。
3.3 可用性攻击
联邦学习中的可用性攻击表示攻击者尝试破 坏模型收敛性或者访问权限。在联邦学习系统中,联 合模型的有效依赖于参与者和服务器在建模过程 中的诚实行为。这里的诚实意味着参与者和服务 都会遵守规则并发送正常数据。
拜占庭攻击
拜占庭攻击指要求所有参与者达成共识的分 布式系统包含一些不可靠参与者的情况。 在 Blanchard 等[62]的工作中,他们假 设恶意参与者通过向服务器发送任意消息来发起 攻击。当服务器采用 FedAvg[81]等简单的线性聚 合策略时,目标模型很容易被攻击者劫持。恶意 参与者除了通过发送任意数据发起拜占庭攻击 外,还可以根据本地模型编造特定的传输数据来 破坏目标模型。
拒绝服务攻击
联邦学习中的防御策略
4.1 针对诚实但好奇攻击者的防御
信息掩盖
密码学方法
对于基础的FedAvg[81]聚合算法而言,服务器只需要对上传的模型参数进行加权相加。这种简单的聚合规则使得同态加密算法可以被应用到联邦学习的隐私保护中。在基于同态加密的保护机制中,每个参与者加密并上传对应的密文,服务器收集并直接对密文进行运算。而在多方安全计算框架中,参与者 协同地通过一些密码学技术来完成特定函数的计算。
混合策略
Hao等[37]在基于同步随机梯度下降的优化算 法中,将加法同态加密和差分隐私相结合,构建了一个高效安全的联邦深度学习系统。Xu等[38]认为健壮且隐私安全的联邦系统需要满足 3 个要素:严格的隐私保证、针对参与者 掉队的应对机制以及高效的通信计算。为了满足这些条件,他们提出了一种名为 HybridAlpha 的 联邦计算框架,如图 13 所示。
4.2 针对恶意攻击者的防御
本节根据联邦学习的生命周 期,将针对恶意攻击者的防御策略划分成 3 部分:1)数据准备阶段的防御;2)模型训练阶段的 防御;3)模型部署阶段的防御。
数据准备阶段的防御
对抗训练最早在文献[28,70]中被提出,其 旨在向训练集中添加对抗样本,以增加目标模型 的鲁棒性。 另外一种 防御对抗攻击的策略是,对输入数据进行变换处 理。Dziugaite 等[27]利用 JPG 压缩技术消除输入 图片的对抗扰动。 而针对数据毒害的后门攻击,由于毒害样本 和正常样本的差异性,最直观的防御策略就是检 测并拒绝有毒的输入样本。Liu 等[25]利用异常检 测算法(支持向量机和决策树)对有毒样本进行检 测并拒绝识别。 除了对有毒样本进行检测拒绝的防御策略 外,还可以利用有毒样本和正常样本之间的分布 差异性,对样本进行重构或直接消除其中的有毒 部分。
当联邦模型收敛后,无论是将其作为全局模 型分发给参与者,还是以 API 接口开放给外部使 用者,模型内部存在的缺陷都会对其可用性和正 直性造成威胁。Wang 等[53]提出了一种名为 Neural Cleanse 的新技术,用于检测和删除嵌入在神经网络中的 后门触发器。他们将防御策略划分为 3 部分:1) 检测后门的存在;2)构建后门的触发模式;3)移 除目标模型中的后门。除了对后门触发器进行检测清除外,另外一 种思路是对目标模型进行微调(fine-tuning)或重 构。Liu 等[18]利用正常样本对目标模型进行进一 步的训练 ,以迫使其“ 忘记 ”后门触发器。
未来展望
(1)攻击能力的约束。在一个 攻击策略中,针对攻击者过多攻击能力的假设,会导致该攻击策略过于特殊而无法被应用到更多的场景。因此,在攻击策略的设计上,未来的发展方向会是在危害联邦系统 的前提下,尽可能地约束攻击者的攻击能力并隐 藏自身的攻击行为。
(2)相互适应的防御策略。 如何和谐地结合多种防御机制(如将异常检测纳入多方安全计算框架中)是一个重要的方向。
(3)隐私、通信和计算的平衡。 考虑到单一防御策略的局限性,越来越多的 工作[36-38]尝试将多种防御策略集成起来,但如何 平衡联邦系统中计算、通信、模型性能和隐私安 全依然是未来研究的重点。
(4)向善的技术应用。