模型被投毒攻擊，如今有了新的安全手段，還被AI頂刊接收

來源：互聯(lián)網(wǎng)   發(fā)布日期：2024-04-18 08:49:33   瀏覽：4357次  

機(jī)器之心發(fā)布

機(jī)器之心編輯部

在深度學(xué)習(xí)時(shí)代，聯(lián)邦學(xué)習(xí)（FL）提供了一種分布式的協(xié)作學(xué)習(xí)的方法，允許多機(jī)構(gòu)數(shù)據(jù)所有者或客戶在不泄漏數(shù)據(jù)隱私的情況下協(xié)作訓(xùn)練機(jī)器學(xué)習(xí)模型。然而，大多數(shù)現(xiàn)有的 FL 方法依賴于集中式服務(wù)器進(jìn)行全局模型聚合，從而導(dǎo)致單點(diǎn)故障。這使得系統(tǒng)在與不誠實(shí)的客戶打交道時(shí)容易受到惡意攻擊。本文中，F(xiàn)Lock 系統(tǒng)采用了點(diǎn)對(duì)點(diǎn)投票機(jī)制和獎(jiǎng)勵(lì)與削減機(jī)制，這些機(jī)制由鏈上智能合約提供支持，以檢測(cè)和阻止惡意行為。FLock 理論和實(shí)證分析都證明了所提出方法的有效性，表明該框架對(duì)于惡意客戶端行為具有魯棒性。

現(xiàn)今，機(jī)器學(xué)習(xí)（ML），更具體地說，深度學(xué)習(xí)已經(jīng)改變了從金融到醫(yī)療等廣泛的行業(yè)。在當(dāng)前的 ML 范式中，訓(xùn)練數(shù)據(jù)首先被收集和策劃，然后通過最小化訓(xùn)練數(shù)據(jù)上的某些損失標(biāo)準(zhǔn)來優(yōu)化 ML 模型。學(xué)習(xí)環(huán)境中的一個(gè)共同基本假設(shè)是訓(xùn)練數(shù)據(jù)可以立即訪問或輕松地跨計(jì)算節(jié)點(diǎn)分發(fā)，即數(shù)據(jù)是「集中式」的。

然而，在一個(gè)擁有多個(gè)「客戶端」（即數(shù)據(jù)持有者）的系統(tǒng)中，為了確保數(shù)據(jù)集中化，客戶端必須將本地?cái)?shù)據(jù)上傳到一個(gè)集中設(shè)備（例如中心服務(wù)器）以進(jìn)行上述的集中式訓(xùn)練。盡管集中式訓(xùn)練在各種深度學(xué)習(xí)應(yīng)用中取得了成功，但對(duì)數(shù)據(jù)隱私和安全的擔(dān)憂日益增長(zhǎng)，特別是當(dāng)客戶端持有的本地?cái)?shù)據(jù)是私有的或包含敏感信息時(shí)。

聯(lián)邦學(xué)習(xí)（FL）可以解決訓(xùn)練數(shù)據(jù)隱私的問題。在一個(gè)典型的 FL 系統(tǒng)中，一個(gè)中心服務(wù)器負(fù)責(zé)聚合和同步模型權(quán)重，而一組客戶端操縱多站點(diǎn)數(shù)據(jù)。這促進(jìn)了數(shù)據(jù)治理，因?yàn)榭蛻舳藘H與中心服務(wù)器交換模型權(quán)重或梯度，而不是將本地?cái)?shù)據(jù)上傳到中心服務(wù)器，并且已經(jīng)使 FL 成為利用多站點(diǎn)數(shù)據(jù)同時(shí)保護(hù)隱私的標(biāo)準(zhǔn)化解決方案。

然而，現(xiàn)有的 FL 大多不能保證來自客戶端的上傳模型更新的質(zhì)量。例如，我們可以將惡意行為定義為通過投毒攻擊故意降低全局模型學(xué)習(xí)性能（例如準(zhǔn)確性和收斂性）的行為。攻擊者可以通過操縱客戶端破壞 FL 系統(tǒng)，而不是黑進(jìn)中心服務(wù)器。這項(xiàng)工作專注于防御客戶端投毒攻擊。

一種解決方案是將 FL 與如全同態(tài)加密（FHE）和安全多方計(jì)算（SMPC）等復(fù)雜的密碼協(xié)議相結(jié)合，以減輕客戶端的惡意行為。然而，采用這些復(fù)雜的密碼協(xié)議為 FL 參與者引入了顯著的計(jì)算開銷，從而損害了系統(tǒng)性能。

FLock.io 公司及其合作研究者們（上海人工智能實(shí)驗(yàn)室 Nanqing Dong 博士、帝國理工大學(xué) Zhipeng Wang 博士、帝國理工大學(xué) William Knoettenbelt 教授、及卡內(nèi)基梅隆大學(xué) Eric Xing 教授）通過提出一種基于區(qū)塊鏈和分布式賬本技術(shù)的安全可靠的 FL 系統(tǒng)框架來解決傳統(tǒng)聯(lián)邦學(xué)習(xí)（FL）依賴于集中式服務(wù)器進(jìn)行全局模型聚合，從而導(dǎo)致單點(diǎn)故障這個(gè)問題，并將此系統(tǒng)設(shè)計(jì)命名為 FLock。

在該研究中，團(tuán)隊(duì)借助區(qū)塊鏈、智能合約和代幣經(jīng)濟(jì)學(xué)設(shè)計(jì)一種可以抵抗惡意節(jié)點(diǎn)攻擊（尤其是投毒攻擊）的 FL 框架。該工作的成果近期被 IEEE Transactions on Artificial Intelligence (TAI) 接收。

論文鏈接：https://ieeexplore.ieee.org/document/10471193

論文標(biāo)題：Defending Against Poisoning Attacks in Federated Learning with Blockchain

方法介紹

靈感來源

FLock 的機(jī)制設(shè)計(jì)受到了證明權(quán)益（PoS）區(qū)塊鏈共識(shí)機(jī)制和桌面游戲《The Resistance》（一種角色扮演類游戲，該游戲的一個(gè)變種叫阿瓦隆）的啟發(fā)。

PoS 要求參與者通過獎(jiǎng)勵(lì)誠實(shí)行為并通過削減權(quán)益來懲罰不誠實(shí)行為，鼓勵(lì)誠實(shí)行為。例如，在以太坊上，希望參與驗(yàn)證區(qū)塊并識(shí)別鏈頭的節(jié)點(diǎn)運(yùn)營商將以太幣存入以太坊上的智能合約中。某位驗(yàn)證者從總驗(yàn)證者池中隨機(jī)選擇作為區(qū)塊提出者提出新區(qū)塊， 其他驗(yàn)證者則檢查新區(qū)塊并證明它們是否有效。如果驗(yàn)證者未能完成其中相應(yīng)的任務(wù)，他們就即會(huì)受到懲罰或削減；誠實(shí)節(jié)點(diǎn)則會(huì)收到獎(jiǎng)勵(lì)。

《The Resistance》游戲則通過投票機(jī)制，每輪游戲中玩家獨(dú)立推理并投票，從而實(shí)現(xiàn)全局共識(shí)�！禩he Resistance》有兩個(gè)不匹配的競(jìng)爭(zhēng)方，其中較大的一方被稱為抵抗力量，另一方被稱為間諜。在《The Resistance》中，有一個(gè)投票機(jī)制，在每一輪中，每個(gè)玩家進(jìn)行獨(dú)立推理并為一個(gè)玩家投票，得票最多的玩家將被視為「間諜」并被踢出游戲。抵抗力量的目標(biāo)是投票淘汰所有間諜，而間諜的目標(biāo)是冒充抵抗力量并生存到最后。

整體設(shè)計(jì)

基于 PoS 和《The Resistance》的啟發(fā)，F(xiàn)Lock 提出了一個(gè)新穎的基于區(qū)塊鏈的 FL 全局聚合的多數(shù)投票機(jī)制，其中每個(gè) FL 參與客戶端獨(dú)立驗(yàn)證聚合本地更新的質(zhì)量，并為全局更新的接受度投票。參與者需要抵押資產(chǎn)或代幣。

每一輪 FL 訓(xùn)練中，參與者將被隨機(jī)選中參與兩種類型的行動(dòng)，提議（上傳本地更新）和投票。聚合者（可以是區(qū)塊鏈礦工或者其他 FL 鏈下聚合者）將對(duì)收到的本地更新進(jìn)行聚合從而得到全局聚合。如果大多數(shù)投票接受全局聚合，提議者將退還其抵押的代幣，而投票接受的投票者不僅會(huì)退還，而且還會(huì)獲得投票拒絕的投票者的抵押代幣的獎(jiǎng)勵(lì)，反之亦然。

基于股權(quán)基礎(chǔ)聚合機(jī)制的整體設(shè)計(jì)如下圖所示。

算法細(xì)節(jié)如下所示：

在每一輪中，從參與的客戶端中隨機(jī)選擇提議者來進(jìn)行本地訓(xùn)練并將本地更新上傳到區(qū)塊鏈。

隨機(jī)選擇的投票者將下載聚合的本地更新，執(zhí)行本地驗(yàn)證，并投票接受或拒絕。

如果大多數(shù)投票者投票「接受」，那么全局模型將被更新，提案者和投票「接受」的投票者將獲得獎(jiǎng)勵(lì)。

相反，如果大多數(shù)投票者投票「拒絕」，則全局模型將不會(huì)更新，提案者和投票「接受」的投票者的抵押代幣將被削減。

該算法的最終目標(biāo)是讓惡意參與者的長(zhǎng)期平均收益為負(fù)值，進(jìn)而使其抵押代幣削減到低于某個(gè)允許閾值，從而被提出 FL 系統(tǒng)。

實(shí)驗(yàn)結(jié)果

FLock 的實(shí)驗(yàn)在 Kaggle Lending Club 數(shù)據(jù)集和 ChestX-ray14 數(shù)據(jù)集上顯示分析了該方案的可行性和魯棒性，包括：

與傳統(tǒng) FL 相比，F(xiàn)Lock 抵抗惡意節(jié)點(diǎn)的能力：如下圖所示，F(xiàn)Lock （即 FedAVG w/block）在有惡意節(jié)點(diǎn)的情況下仍然保持了穩(wěn)健的性能。

惡意參與者的抵押代幣變化：同理論分析一致，惡意參與者的平均代幣隨著訓(xùn)練輪數(shù) / 時(shí)間的增加而減少。并且，如果懲罰力度增大（即 \gamma 增大），則惡意參與者的平均代幣的減少速度將會(huì)增大。

誠實(shí)參與者的抵押代幣變化：相對(duì)應(yīng)的，誠實(shí)參與者的平均代幣隨著訓(xùn)練輪數(shù) / 時(shí)間的增加而增加。并且，如果懲罰力度增大大（即 \gamma 增大），則誠實(shí)參與者的平均代幣的增加速度將會(huì)增大。

惡意參與者的存活時(shí)間：惡意參與者的存活時(shí)間將會(huì)隨著懲罰力度增大而縮短。

誠實(shí)參與者的存活時(shí)間：FLock 的實(shí)驗(yàn)結(jié)果也指出，在惡意節(jié)點(diǎn)占比較多的時(shí)候（即 \eta 增大時(shí)），較大的懲罰力度也會(huì)造成部分誠實(shí)節(jié)點(diǎn)的存活時(shí)間縮短（因?yàn)槊恳惠喌奶嶙h者和投票者是隨機(jī)選取的）。因此，在實(shí)際應(yīng)用中，要結(jié)合考慮惡意節(jié)點(diǎn)占比（即 \eta）設(shè)置懲罰力度（即 \gamma）。

總結(jié)與展望

FLock 提出了一種基于區(qū)塊鏈、智能合約和代幣經(jīng)濟(jì)學(xué)的可以抵惡意節(jié)點(diǎn)攻擊的 FL 框架。該方案論證了區(qū)塊鏈和 FL 結(jié)合的可行性，證明了區(qū)塊鏈不僅可以在去中心化和激勵(lì)參與者在金融和醫(yī)學(xué)等領(lǐng)域的現(xiàn)實(shí)世界中的 FL 應(yīng)用中發(fā)揮重要作用，而且還可以用來防御投毒攻擊。

FLock 的方案已被進(jìn)一步落地實(shí)現(xiàn)：https://www.flock.io/

團(tuán)隊(duì)將于近期推出首個(gè)版本的去中心化 AI 模型訓(xùn)練平臺(tái)，基建包括了激勵(lì)體系，聯(lián)邦學(xué)習(xí)和一鍵微調(diào)腳本。平臺(tái)將主要面向兩類人群：Developer：歡迎各位 Kaggle 及 Huggingface 玩家早期入駐，完成模型訓(xùn)練與驗(yàn)證以獲得激勵(lì)；Task Creator：有模型訓(xùn)練或者微調(diào)需求的公司或者團(tuán)隊(duì)可以在FLock平臺(tái)上發(fā)布任務(wù)，F(xiàn)Lock提供基建組織開發(fā)者，從而省去組建AI團(tuán)隊(duì)，尋找用戶基礎(chǔ)與數(shù)據(jù)的復(fù)雜過程，并簡(jiǎn)化工作流。有興趣請(qǐng)郵件 FLock 團(tuán)隊(duì)：hello@flock.io

研究方面，F(xiàn)Lock 也正在探索更加多維度的 decentralized AI 安全解決方案，如借助零知識(shí)證明解決 FL 中心節(jié)點(diǎn)作惡的問題。

研究地址：https://arxiv.org/pdf/2310.02554.pdf

Let's wait for more decentralized AI solutions from FLock!

與此同時(shí)，F(xiàn)Lock.io 公司致力于將此技術(shù)投入到工程實(shí)踐，也于最近官宣種子輪六百萬美元的融資，由 Lightspeed Faction（光速美國）領(lǐng)投。

贊助本站