Phương pháp phát hiện bất thường không có kiến thức để học tập liên kết mạnh mẽ

Bảng liên kết

Tóm tắt và giới thiệu

Cài đặt vấn đề

Phát hiện bất thường hai giai đoạn được đề xuất

Phát hiện bất thường có thể kiểm chứng bằng ZKP

Đánh giá

Tác phẩm liên quan

Kết luận & Tài liệu tham khảo

TRỪU TƯỢNG

Các hệ thống học tập liên kết (FL) dễ bị tấn công bởi các máy khách độc hại gửi các mô hình cục bộ bị nhiễm độc để đạt được các mục tiêu đối nghịch của chúng, chẳng hạn như ngăn chặn sự hội tụ của mô hình toàn cầu hoặc khiến mô hình toàn cầu phân loại sai một số dữ liệu. Nhiều cơ chế bảo vệ hiện tại không thực tế trong các hệ thống FL trong thế giới thực, vì chúng yêu cầu kiến thức trước về số lượng khách hàng độc hại hoặc dựa vào việc đánh giá lại hoặc sửa đổi nội dung gửi. Điều này là do đối thủ thường không thông báo ý định của họ trước khi tấn công và việc cân nhắc lại có thể thay đổi kết quả tổng hợp ngay cả khi không có cuộc tấn công. Để giải quyết những thách thức này trong các hệ thống FL thực, bài viết này giới thiệu một phương pháp phát hiện bất thường tiên tiến với các tính năng sau: i) Phát hiện sự xuất hiện của các cuộc tấn công và chỉ thực hiện các hoạt động phòng thủ khi các cuộc tấn công xảy ra; ii) Khi xảy ra tấn công, tiếp tục phát hiện các mô hình máy khách độc hại và loại bỏ chúng mà không làm tổn hại đến các mô hình khách lành tính; iii) Đảm bảo thực hiện trung thực các cơ chế bảo vệ tại máy chủ bằng cách tận dụng cơ chế chứng minh không có kiến thức. Chúng tôi xác nhận hiệu suất vượt trội của phương pháp được đề xuất bằng các thử nghiệm mở rộng.

1. GIỚI THIỆU

Học liên kết (FL) (McMahan và cộng sự, 2017a) cho phép khách hàng hợp tác đào tạo các mô hình học máy mà không chia sẻ dữ liệu cục bộ của họ với các bên khác, duy trì quyền riêng tư và bảo mật cho dữ liệu cục bộ của họ. Do tính chất bảo vệ quyền riêng tư, FL đã thu hút sự chú ý đáng kể trên nhiều lĩnh vực khác nhau và đã được sử dụng trong nhiều lĩnh vực (Hard và cộng sự, 2018; Chen và cộng sự, 2019; Ramaswamy và cộng sự, 2019; Leroy và cộng sự, 2019; Byrd & Polychroniadou, 2020; Chowdhury và cộng sự, 2022). Tuy nhiên, mặc dù FL không yêu cầu chia sẻ dữ liệu thô với người khác, nhưng bản chất phi tập trung và hợp tác của nó vô tình tạo ra các lỗ hổng bảo mật và quyền riêng tư (Cao & Gong, 2022; Bhagoji và cộng sự, 2019; Lam và cộng sự, 2021; Jin và cộng sự. , 2021; Tomsett và cộng sự, 2019; Chen và cộng sự, 2017; Tolpegin và cộng sự, 2020; Kariyappa và cộng sự, 2022; Zhang và cộng sự, 2022c). Các máy khách độc hại trong hệ thống FL có thể gây tổn hại cho việc đào tạo bằng cách gửi các mô hình giả nhằm phá vỡ quá trình hội tụ của mô hình toàn cầu (Fang và cộng sự, 2020; Chen và cộng sự, 2017) hoặc cài đặt các cửa hậu để khiến mô hình toàn cầu hoạt động sai đối với một số mẫu nhất định ( Bagdasaryan và cộng sự, 2020b;a; Wang và cộng sự, 2020).

Tài liệu hiện có về học tập hiệu quả và giảm thiểu các hành vi bất lợi bao gồm Blanchard et al. (2017); Yang và cộng sự. (2019); Fung và cộng sự. (2020); Pillutla và cộng sự. (2022); Anh ấy và cộng sự. (2022); Cao và cộng sự. (2022); Karimireddy và cộng sự. (2020); Sun và cộng sự. (2019); Fu và cộng sự. (2019); Ozdayi và cộng sự. (2021); Sun và cộng sự. (2021), v.v. Những cách tiếp cận này bộc lộ những thiếu sót, khiến chúng ít phù hợp hơn với các hệ thống FL thực. Một số chiến lược này yêu cầu kiến thức trước về số lượng máy khách độc hại trong hệ thống FL (Blanchard và cộng sự, 2017), mặc dù trên thực tế, kẻ thù sẽ không thông báo cho hệ thống trước khi tấn công. Ngoài ra, một số phương pháp này giảm thiểu tác động của việc gửi khách hàng độc hại tiềm ẩn bằng cách đánh giá lại các mô hình cục bộ (Fung và cộng sự, 2020), chỉ giữ lại một số mô hình cục bộ có nhiều khả năng là lành tính nhất trong khi loại bỏ các mô hình khác (Blanchard và cộng sự, 2017) hoặc sửa đổi hàm tổng hợp (Pillutla và cộng sự, 2022). Những phương pháp này có khả năng vô tình làm thay đổi kết quả tổng hợp trong trường hợp không có các cuộc tấn công có chủ ý, vì các cuộc tấn công xảy ra không thường xuyên.

trong các tình huống thực tế. Mặc dù các cơ chế bảo vệ có thể giảm thiểu tác động của các cuộc tấn công tiềm ẩn nhưng chúng có thể vô tình làm ảnh hưởng đến chất lượng kết quả khi áp dụng cho các trường hợp lành tính.

Hơn nữa, các cơ chế bảo vệ hiện có được triển khai tại máy chủ FL mà không có bất kỳ quy trình xác minh nào để đảm bảo chúng được thực thi chính xác. Mặc dù hầu hết khách hàng đều thiện chí và mong muốn hợp tác đào tạo các mô hình học máy, nhưng họ cũng có thể nghi ngờ về độ tin cậy của máy chủ do việc thực thi các cơ chế bảo vệ sửa đổi quy trình tổng hợp ban đầu. Do đó, phương pháp phát hiện bất thường thành công phải đồng thời đáp ứng các yêu cầu sau: i) Nó có thể phát hiện sự xuất hiện của các cuộc tấn công và xử lý riêng các trường hợp khi các cuộc tấn công xảy ra. ii) Nếu phát hiện một cuộc tấn công, chiến lược phải phát hiện thêm các lượt gửi của khách hàng độc hại và theo đó giảm thiểu (hoặc loại bỏ) các tác động bất lợi của chúng mà không làm tổn hại đến các mô hình khách hàng lành tính. iii) Cần có cơ chế mạnh mẽ để chứng thực việc thực thi trung thực các cơ chế phòng vệ.

Trong công việc này, chúng tôi đề xuất một cơ chế phát hiện bất thường mới được thiết kế riêng để giải quyết những thách thức thực sự mà các hệ thống FL trong thế giới thực phải đối mặt. Cách tiếp cận của chúng tôi tuân theo sơ đồ hai giai đoạn tại máy chủ để lọc các bài gửi của khách hàng độc hại trước khi tổng hợp. Nó bắt đầu bằng việc kiểm tra chéo dựa trên một số bộ đệm được gọi là “mô hình tham chiếu” để xác định xem có bất kỳ cuộc tấn công nào đã xảy ra hay không. Trong trường hợp bị tấn công, việc phát hiện nhiều máy khách tiếp theo sẽ được thực thi để loại bỏ các mô hình máy khách độc hại mà không làm tổn hại đến các mô hình máy khách lành tính. Trong khi đó, các mô hình tham chiếu trong bộ đệm được đổi mới. Chúng tôi cung cấp cái nhìn tổng quan trong Hình 1. Những đóng góp của chúng tôi được tóm tắt như sau:

i ) Phát hiện tấn công chủ động. Chiến lược của chúng tôi được trang bị tính năng kiểm tra xuyên suốt ban đầu để phát hiện sự xuất hiện của các cuộc tấn công tiềm ẩn, đảm bảo rằng các phương pháp phòng thủ chỉ được kích hoạt để ứng phó với sự hiện diện của các cuộc tấn công, từ đó duy trì tính toàn vẹn của quy trình trong các tình huống không bị tấn công.

ii ) Tăng cường phát hiện sự bất thường. Bằng cách kết hợp kiểm tra chéo với phát hiện khách hàng chéo tiếp theo, phương pháp tiếp cận của chúng tôi sẽ loại bỏ một cách hiệu quả các nội dung gửi của khách hàng độc hại mà không làm tổn hại đến các nội dung gửi lành tính cục bộ.

iii ) Tự chủ về kiến thức sẵn có. Phương pháp của chúng tôi hoạt động hiệu quả mà không cần bất kỳ điều kiện tiên quyết nào như phân phối dữ liệu hoặc số lượng khách hàng độc hại. Bản chất tự trị như vậy đảm bảo khả năng ứng dụng rộng rãi và khả năng thích ứng của phương pháp tiếp cận của chúng tôi đối với các nhiệm vụ FL khác nhau, bất kể việc phân phối dữ liệu và lựa chọn mô hình.

iv ) Quy trình xác minh nghiêm ngặt. Kết hợp các phương pháp Bằng chứng không kiến thức (ZKP) (Goldwasser và cộng sự, 1989), cách tiếp cận của chúng tôi đảm bảo rằng việc loại bỏ các mô hình máy khách độc hại được thực hiện chính xác, đảm bảo rằng khách hàng có thể đặt niềm tin vào cơ chế bảo vệ trong hệ thống FL.