模型被投毒攻擊，如今有了新的安全手段，還被AI頂刊接收

來源：互聯(lián)網(wǎng)   發(fā)布日期：2024-04-18 08:49:33   瀏覽：4257次  

機器之心發(fā)布

機器之心編輯部

在深度學(xué)習(xí)時代，聯(lián)邦學(xué)習(xí)（FL）提供了一種分布式的協(xié)作學(xué)習(xí)的方法，允許多機構(gòu)數(shù)據(jù)所有者或客戶在不泄漏數(shù)據(jù)隱私的情況下協(xié)作訓(xùn)練機器學(xué)習(xí)模型。然而，大多數(shù)現(xiàn)有的 FL 方法依賴于集中式服務(wù)器進(jìn)行全局模型聚合，從而導(dǎo)致單點故障。這使得系統(tǒng)在與不誠實的客戶打交道時容易受到惡意攻擊。本文中，F(xiàn)Lock 系統(tǒng)采用了點對點投票機制和獎勵與削減機制，這些機制由鏈上智能合約提供支持，以檢測和阻止惡意行為。FLock 理論和實證分析都證明了所提出方法的有效性，表明該框架對于惡意客戶端行為具有魯棒性。

現(xiàn)今，機器學(xué)習(xí)（ML），更具體地說，深度學(xué)習(xí)已經(jīng)改變了從金融到醫(yī)療等廣泛的行業(yè)。在當(dāng)前的 ML 范式中，訓(xùn)練數(shù)據(jù)首先被收集和策劃，然后通過最小化訓(xùn)練數(shù)據(jù)上的某些損失標(biāo)準(zhǔn)來優(yōu)化 ML 模型。學(xué)習(xí)環(huán)境中的一個共同基本假設(shè)是訓(xùn)練數(shù)據(jù)可以立即訪問或輕松地跨計算節(jié)點分發(fā)，即數(shù)據(jù)是「集中式」的。

然而，在一個擁有多個「客戶端」（即數(shù)據(jù)持有者）的系統(tǒng)中，為了確保數(shù)據(jù)集中化，客戶端必須將本地數(shù)據(jù)上傳到一個集中設(shè)備（例如中心服務(wù)器）以進(jìn)行上述的集中式訓(xùn)練。盡管集中式訓(xùn)練在各種深度學(xué)習(xí)應(yīng)用中取得了成功，但對數(shù)據(jù)隱私和安全的擔(dān)憂日益增長，特別是當(dāng)客戶端持有的本地數(shù)據(jù)是私有的或包含敏感信息時。

聯(lián)邦學(xué)習(xí)（FL）可以解決訓(xùn)練數(shù)據(jù)隱私的問題。在一個典型的 FL 系統(tǒng)中，一個中心服務(wù)器負(fù)責(zé)聚合和同步模型權(quán)重，而一組客戶端操縱多站點數(shù)據(jù)。這促進(jìn)了數(shù)據(jù)治理，因為客戶端僅與中心服務(wù)器交換模型權(quán)重或梯度，而不是將本地數(shù)據(jù)上傳到中心服務(wù)器，并且已經(jīng)使 FL 成為利用多站點數(shù)據(jù)同時保護(hù)隱私的標(biāo)準(zhǔn)化解決方案。

然而，現(xiàn)有的 FL 大多不能保證來自客戶端的上傳模型更新的質(zhì)量。例如，我們可以將惡意行為定義為通過投毒攻擊故意降低全局模型學(xué)習(xí)性能（例如準(zhǔn)確性和收斂性）的行為。攻擊者可以通過操縱客戶端破壞 FL 系統(tǒng)，而不是黑進(jìn)中心服務(wù)器。這項工作專注于防御客戶端投毒攻擊。

一種解決方案是將 FL 與如全同態(tài)加密（FHE）和安全多方計算（SMPC）等復(fù)雜的密碼協(xié)議相結(jié)合，以減輕客戶端的惡意行為。然而，采用這些復(fù)雜的密碼協(xié)議為 FL 參與者引入了顯著的計算開銷，從而損害了系統(tǒng)性能。

FLock.io 公司及其合作研究者們（上海人工智能實驗室 Nanqing Dong 博士、帝國理工大學(xué) Zhipeng Wang 博士、帝國理工大學(xué) William Knoettenbelt 教授、及卡內(nèi)基梅隆大學(xué) Eric Xing 教授）通過提出一種基于區(qū)塊鏈和分布式賬本技術(shù)的安全可靠的 FL 系統(tǒng)框架來解決傳統(tǒng)聯(lián)邦學(xué)習(xí)（FL）依賴于集中式服務(wù)器進(jìn)行全局模型聚合，從而導(dǎo)致單點故障這個問題，并將此系統(tǒng)設(shè)計命名為 FLock。

在該研究中，團隊借助區(qū)塊鏈、智能合約和代幣經(jīng)濟學(xué)設(shè)計一種可以抵抗惡意節(jié)點攻擊（尤其是投毒攻擊）的 FL 框架。該工作的成果近期被 IEEE Transactions on Artificial Intelligence (TAI) 接收。

論文鏈接：https://ieeexplore.ieee.org/document/10471193

論文標(biāo)題：Defending Against Poisoning Attacks in Federated Learning with Blockchain

方法介紹

靈感來源

FLock 的機制設(shè)計受到了證明權(quán)益（PoS）區(qū)塊鏈共識機制和桌面游戲《The Resistance》（一種角色扮演類游戲，該游戲的一個變種叫阿瓦�。┑膯�發(fā)。

PoS 要求參與者通過獎勵誠實行為并通過削減權(quán)益來懲罰不誠實行為，鼓勵誠實行為。例如，在以太坊上，希望參與驗證區(qū)塊并識別鏈頭的節(jié)點運營商將以太幣存入以太坊上的智能合約中。某位驗證者從總驗證者池中隨機選擇作為區(qū)塊提出者提出新區(qū)塊， 其他驗證者則檢查新區(qū)塊并證明它們是否有效。如果驗證者未能完成其中相應(yīng)的任務(wù)，他們就即會受到懲罰或削減；誠實節(jié)點則會收到獎勵。

《The Resistance》游戲則通過投票機制，每輪游戲中玩家獨立推理并投票，從而實現(xiàn)全局共識。《The Resistance》有兩個不匹配的競爭方，其中較大的一方被稱為抵抗力量，另一方被稱為間諜。在《The Resistance》中，有一個投票機制，在每一輪中，每個玩家進(jìn)行獨立推理并為一個玩家投票，得票最多的玩家將被視為「間諜」并被踢出游戲。抵抗力量的目標(biāo)是投票淘汰所有間諜，而間諜的目標(biāo)是冒充抵抗力量并生存到最后。

整體設(shè)計

基于 PoS 和《The Resistance》的啟發(fā)，F(xiàn)Lock 提出了一個新穎的基于區(qū)塊鏈的 FL 全局聚合的多數(shù)投票機制，其中每個 FL 參與客戶端獨立驗證聚合本地更新的質(zhì)量，并為全局更新的接受度投票。參與者需要抵押資產(chǎn)或代幣。

每一輪 FL 訓(xùn)練中，參與者將被隨機選中參與兩種類型的行動，提議（上傳本地更新）和投票。聚合者（可以是區(qū)塊鏈礦工或者其他 FL 鏈下聚合者）將對收到的本地更新進(jìn)行聚合從而得到全局聚合。如果大多數(shù)投票接受全局聚合，提議者將退還其抵押的代幣，而投票接受的投票者不僅會退還，而且還會獲得投票拒絕的投票者的抵押代幣的獎勵，反之亦然。

基于股權(quán)基礎(chǔ)聚合機制的整體設(shè)計如下圖所示。

算法細(xì)節(jié)如下所示：

在每一輪中，從參與的客戶端中隨機選擇提議者來進(jìn)行本地訓(xùn)練并將本地更新上傳到區(qū)塊鏈。

隨機選擇的投票者將下載聚合的本地更新，執(zhí)行本地驗證，并投票接受或拒絕。

如果大多數(shù)投票者投票「接受」，那么全局模型將被更新，提案者和投票「接受」的投票者將獲得獎勵。

相反，如果大多數(shù)投票者投票「拒絕」，則全局模型將不會更新，提案者和投票「接受」的投票者的抵押代幣將被削減。

該算法的最終目標(biāo)是讓惡意參與者的長期平均收益為負(fù)值，進(jìn)而使其抵押代幣削減到低于某個允許閾值，從而被提出 FL 系統(tǒng)。

實驗結(jié)果

FLock 的實驗在 Kaggle Lending Club 數(shù)據(jù)集和 ChestX-ray14 數(shù)據(jù)集上顯示分析了該方案的可行性和魯棒性，包括：

與傳統(tǒng) FL 相比，F(xiàn)Lock 抵抗惡意節(jié)點的能力：如下圖所示，F(xiàn)Lock （即 FedAVG w/block）在有惡意節(jié)點的情況下仍然保持了穩(wěn)健的性能。

惡意參與者的抵押代幣變化：同理論分析一致，惡意參與者的平均代幣隨著訓(xùn)練輪數(shù) / 時間的增加而減少。并且，如果懲罰力度增大（即 \gamma 增大），則惡意參與者的平均代幣的減少速度將會增大。

誠實參與者的抵押代幣變化：相對應(yīng)的，誠實參與者的平均代幣隨著訓(xùn)練輪數(shù) / 時間的增加而增加。并且，如果懲罰力度增大大（即 \gamma 增大），則誠實參與者的平均代幣的增加速度將會增大。

惡意參與者的存活時間：惡意參與者的存活時間將會隨著懲罰力度增大而縮短。

誠實參與者的存活時間：FLock 的實驗結(jié)果也指出，在惡意節(jié)點占比較多的時候（即 \eta 增大時），較大的懲罰力度也會造成部分誠實節(jié)點的存活時間縮短（因為每一輪的提議者和投票者是隨機選取的）。因此，在實際應(yīng)用中，要結(jié)合考慮惡意節(jié)點占比（即 \eta）設(shè)置懲罰力度（即 \gamma）。

總結(jié)與展望

FLock 提出了一種基于區(qū)塊鏈、智能合約和代幣經(jīng)濟學(xué)的可以抵惡意節(jié)點攻擊的 FL 框架。該方案論證了區(qū)塊鏈和 FL 結(jié)合的可行性，證明了區(qū)塊鏈不僅可以在去中心化和激勵參與者在金融和醫(yī)學(xué)等領(lǐng)域的現(xiàn)實世界中的 FL 應(yīng)用中發(fā)揮重要作用，而且還可以用來防御投毒攻擊。

FLock 的方案已被進(jìn)一步落地實現(xiàn)：https://www.flock.io/

團隊將于近期推出首個版本的去中心化 AI 模型訓(xùn)練平臺，基建包括了激勵體系，聯(lián)邦學(xué)習(xí)和一鍵微調(diào)腳本。平臺將主要面向兩類人群：Developer：歡迎各位 Kaggle 及 Huggingface 玩家早期入駐，完成模型訓(xùn)練與驗證以獲得激勵；Task Creator：有模型訓(xùn)練或者微調(diào)需求的公司或者團隊可以在FLock平臺上發(fā)布任務(wù)，F(xiàn)Lock提供基建組織開發(fā)者，從而省去組建AI團隊，尋找用戶基礎(chǔ)與數(shù)據(jù)的復(fù)雜過程，并簡化工作流。有興趣請郵件 FLock 團隊：hello@flock.io

研究方面，F(xiàn)Lock 也正在探索更加多維度的 decentralized AI 安全解決方案，如借助零知識證明解決 FL 中心節(jié)點作惡的問題。

研究地址：https://arxiv.org/pdf/2310.02554.pdf

Let's wait for more decentralized AI solutions from FLock!

與此同時，F(xiàn)Lock.io 公司致力于將此技術(shù)投入到工程實踐，也于最近官宣種子輪六百萬美元的融資，由 Lightspeed Faction（光速美國）領(lǐng)投。

贊助本站