Dieses Dokument ist auf arxiv unter der CC BY-NC-SA 4.0 DEED-Lizenz verfügbar.
Autoren:
(1) Shanshan Han & Qifan Zhang, UCI;
(2) Wenxuan Wu, Texas A&M University;
(3) Baturalp Buyukates, Yuhang Yao & Weizhao Jin, USC;
(4) Salman Avestimehr, USC & FedML.
Zusammenfassung und Einführung
Die vorgeschlagene zweistufige Anomalieerkennung
Überprüfbare Anomalieerkennung mit ZKP
Federated-Learning-Systeme (FL) sind anfällig für böswillige Clients, die vergiftete lokale Modelle einreichen, um ihre gegnerischen Ziele zu erreichen, wie etwa die Verhinderung der Konvergenz des globalen Modells oder die Veranlassung des globalen Modells, einige Daten falsch zu klassifizieren. Viele bestehende Abwehrmechanismen sind in realen FL-Systemen unpraktisch, da sie vorherige Kenntnisse über die Anzahl böswilliger Clients erfordern oder auf einer Neugewichtung oder Änderung von Eingaben beruhen. Dies liegt daran, dass Gegner ihre Absichten vor dem Angriff in der Regel nicht bekannt geben und eine Neugewichtung die Aggregationsergebnisse auch ohne Angriffe verändern kann. Um diesen Herausforderungen in realen FL-Systemen zu begegnen, stellt dieses Dokument einen hochmodernen Anomalieerkennungsansatz mit den folgenden Funktionen vor: i) Erkennung des Auftretens von Angriffen und Durchführung von Verteidigungsmaßnahmen nur dann, wenn Angriffe stattfinden; ii) Bei einem Angriff die böswilligen Client-Modelle weiter erkennen und beseitigen, ohne die harmlosen Modelle zu schädigen; iii) Gewährleistung einer ehrlichen Ausführung der Abwehrmechanismen auf dem Server durch Nutzung eines Zero-Knowledge-Proof-Mechanismus. Wir validieren die überlegene Leistung des vorgeschlagenen Ansatzes durch umfangreiche Experimente.
Federated Learning (FL) (McMahan et al., 2017a) ermöglicht es Kunden, gemeinsam Modelle für maschinelles Lernen zu trainieren, ohne ihre lokalen Daten mit anderen Parteien zu teilen, und sorgt so für den Datenschutz und die Sicherheit ihrer lokalen Daten. Aufgrund seiner datenschutzrechtlichen Natur hat FL in verschiedenen Bereichen große Aufmerksamkeit auf sich gezogen und wurde in zahlreichen Bereichen eingesetzt (Hard et al., 2018; Chen et al., 2019; Ramaswamy et al., 2019; Leroy et al., 2019; Byrd & Polychroniadou, 2020; Chowdhury et al., 2022). Auch wenn FL nicht die Weitergabe von Rohdaten an andere erfordert, führt sein dezentraler und kollaborativer Charakter unbeabsichtigt zu Datenschutz- und Sicherheitslücken (Cao & Gong, 2022; Bhagoji et al., 2019; Lam et al., 2021; Jin et al. , 2021; Tomsett et al., 2019; Chen et al., 2017; Tolpegin et al., 2020; Kariyapa et al., 2022; Zhang et al., 2022c). Böswillige Clients in FL-Systemen können das Training beeinträchtigen, indem sie falsche Modelle einreichen, um die Konvergenz des globalen Modells zu stören (Fang et al., 2020; Chen et al., 2017), oder Hintertüren einbauen, um zu veranlassen, dass das globale Modell bei bestimmten Stichproben fehlerhaft funktioniert ( Bagdasaryan et al., 2020b;a; Wang et al., 2020).
Zu den vorhandenen Fachliteratur zu robustem Lernen und der Abmilderung kontradiktorischen Verhaltens gehören Blanchard et al. (2017); Yang et al. (2019); Fung et al. (2020); Pillutla et al. (2022); Er et al. (2022); Cao et al. (2022); Karimireddy et al. (2020); Sun et al. (2019); Fu et al. (2019); Ozdayi et al. (2021); Sun et al. (2021) usw. Diese Ansätze weisen Mängel auf, sodass sie für echte FL-Systeme weniger geeignet sind. Einige dieser Strategien erfordern Vorkenntnisse über die Anzahl der böswilligen Clients im FL-System (Blanchard et al., 2017), auch wenn ein Angreifer in der Praxis das System vor dem Angriff nicht benachrichtigt. Außerdem mildern einige dieser Methoden die Auswirkungen potenzieller böswilliger Client-Übermittlungen, indem sie die lokalen Modelle neu gewichten (Fung et al., 2020), wobei nur einige lokale Modelle beibehalten werden, die am wahrscheinlichsten harmlos sind, während andere entfernt werden (Blanchard et al., 2017) oder Änderung der Aggregationsfunktion (Pillutla et al., 2022). Diese Methoden bergen das Potenzial, die Aggregationsergebnisse ohne absichtliche Angriffe unbeabsichtigt zu verändern, wenn man bedenkt, dass Angriffe selten vorkommen
in realen Szenarien. Während die Abwehrmechanismen die Auswirkungen potenzieller Angriffe abmildern können, können sie bei harmlosen Fällen unbeabsichtigt die Ergebnisqualität beeinträchtigen.
Darüber hinaus werden bestehende Abwehrmechanismen auf dem FL-Server eingesetzt, ohne dass Überprüfungsverfahren erforderlich sind, um deren korrekte Ausführung sicherzustellen. Während die meisten Kunden harmlos sind und gemeinsam Modelle für maschinelles Lernen trainieren möchten, können sie aufgrund der Ausführung der Abwehrmechanismen, die das ursprüngliche Aggregationsverfahren modifizieren, auch skeptisch gegenüber der Zuverlässigkeit des Servers sein. Daher sollte ein erfolgreicher Anomalieerkennungsansatz gleichzeitig Folgendes erfüllen: i) Er sollte in der Lage sein, das Auftreten von Angriffen zu erkennen und ausschließlich die Fälle zu behandeln, in denen Angriffe stattfinden. ii) Wenn ein Angriff erkannt wird, muss die Strategie böswillige Client-Übermittlungen weiter erkennen und dementsprechend ihre gegnerischen Auswirkungen abschwächen (oder beseitigen), ohne die harmlosen Client-Modelle zu beeinträchtigen. iii) Es sollte einen robusten Mechanismus geben, um die ehrliche Umsetzung von Abwehrmechanismen zu bestätigen.
In dieser Arbeit schlagen wir einen neuartigen Anomalieerkennungsmechanismus vor, der speziell auf die Bewältigung echter Herausforderungen zugeschnitten ist, mit denen reale FL-Systeme konfrontiert sind. Unser Ansatz folgt einem zweistufigen Schema auf dem Server, um bösartige Client-Übermittlungen vor der Aggregation herauszufiltern. Es beginnt mit einer Cross-Round-Prüfung, die auf einigen Caches, sogenannten „Referenzmodellen“, basiert, um festzustellen, ob Angriffe stattgefunden haben. Bei Angriffen wird eine anschließende mandantenübergreifende Erkennung durchgeführt, um bösartige Client-Modelle zu eliminieren, ohne die harmlosen Client-Modelle zu beschädigen. Mittlerweile werden die Referenzmodelle im Cache erneuert. Einen Überblick geben wir in Abbildung 1. Unsere Beiträge sind wie folgt zusammengefasst:
i ) Proaktive Angriffserkennung. Unsere Strategie ist mit einer anfänglichen übergreifenden Prüfung ausgestattet, um das Auftreten potenzieller Angriffe zu erkennen und sicherzustellen, dass Abwehrmethoden nur als Reaktion auf das Vorhandensein von Angriffen aktiviert werden, wodurch die Integrität des Prozesses in angriffsfreien Szenarien gewahrt bleibt.
ii ) Verbesserte Anomalieerkennung. Durch die Verknüpfung der Cross-Round-Prüfung mit einer anschließenden Cross-Client-Erkennung eliminiert unser Ansatz effizient böswillige Client-Übermittlungen, ohne die harmlosen lokalen Übermittlungen zu beeinträchtigen.
iii ) Autonomie gegenüber Vorwissen. Unsere Methode funktioniert effektiv und ohne jegliche Voraussetzungen wie Datenverteilung oder die Anzahl böswilliger Clients. Diese Autonomie gewährleistet eine breite Anwendbarkeit und Anpassungsfähigkeit unseres Ansatzes für verschiedene FL-Aufgaben, unabhängig von der Datenverteilung und der Auswahl der Modelle.
iv ) Strenges Verifizierungsprotokoll. Durch die Einbeziehung von Zero-Knowledge-Proof-Methoden (ZKP) (Goldwasser et al., 1989) garantiert unser Ansatz, dass die Eliminierung bösartiger Client-Modelle korrekt durchgeführt wird, und stellt sicher, dass Kunden dem Abwehrmechanismus im FL-System vertrauen können.