CN116050546A - 一种数据非独立同分布下的拜占庭鲁棒的联邦学习方法 - Google Patents

Abstract

本发明公开了一种数据非独立同分布下的拜占庭鲁棒的联邦学习方法,包括如下步骤：步骤1：服务器端保留用户的历史更新；步骤2：计算当前更新与历史更新的相似度；步骤3：对比用户间当前更新与历史更新相似度的差异，区分恶意用户和良性用户的更新行为差异；步骤4：降低恶意用户的聚合学习率；步骤5：聚合用户更新，得到新的全局模型。这种方法能有效识别用户当前更新与历史学习更新的差异，捕获可疑的异常更新，降低恶意攻击对模型的影响，更重要的是能提高对良性用户更新差异性的容忍度，保证数据非独立同分布场景下的模型精度。

Description

一种数据非独立同分布下的拜占庭鲁棒的联邦学习方法

技术领域

本发明涉及联邦学习技术中在数据非独立同分布下抗拜占庭攻击的联邦学习技术，具体是一种数据非独立同分布下的拜占庭鲁棒的联邦学习方法。

背景技术

近年来，人工智能和机器学习引起广泛关注。但在实际场景中，各类隐私保护法案的发布及各机构、个人对隐私泄露的担忧使得数据流通性逐步降低，可用于进行学习训练的数据量远不如想象中的充足。人工智能和机器学习因数据量少不足以支撑训练、数据不允许粗暴交换、数据方不愿意贡献价值等原因难于落地。因数据安全和隐私保护等问题，导致出现了大量的数据孤岛，为解决传统机器学习中因大量数据集中训练而引发的隐私泄露风险，联邦学习应运而生。

联邦学习是一种新兴的分布式机器学习框架，训练过程中数据不出用户本地，训练参与方和中心服务器间仅传输全局模型、局部模型更新参数，服务器端将收集到的用户模型更新参数进行安全聚合。经过多次循环迭代，直至模型收敛，得到由多参与方共同构建的全局平均模型。在联邦学习的过程中，服务器主节点无法获得参与方的训练数据，不学习参与方的隐私信息，各参与方之间不直接交流，以此方式保护用户数据隐私。

联邦学习因需保证各方参与者的隐私，服务器无法了解参与者的本地数据和训练过程。在每轮迭代中，服务器仅收集各参与方训练后的模型更新参数，因此，联邦学习本质上很容易受到中毒攻击。

在联邦学习中，最典型的攻击方式是拜占庭攻击，它试图篡改参与者提交的模型更新的参数值，使得模型参数的实际收敛过程偏离正确方向，进而影响全局模型的收敛性。现有的研究证明，即使只有一个拜占庭攻击者，也可对系统产生致命的影响。目前针对拜占庭攻击的防御方法，主要基于聚类和统计知识的方法，如基于欧几里得距离检测异常的Krum、基于k-means聚类算法的AUROR、基于距离离群检测的BREA,以上方法都是在数据独立同分布(iid)的假设下比较不同用户的参数差异，并剔除异常值。但在联邦学习的实际场景中，各参与方的训练数据参差不齐，具有明显的非独立同分布特性(non-iid)。且联邦学习中训练数据不出参与方本地，无法对非独立同分布的数据进行统一的shuffe操作，实际场景下联邦学习无法满足基于聚类和统计知识防御方法的数据独立同分布前提。在实际应用中，这类拜占庭防御方法不可避免地会降低联邦学习的模型精度，影响联邦学习的实际效用。

发明内容

本发明的目的是针对联邦学习在数据非独立同分布场景下抵御拜占庭攻击的问题，而提出一种数据非独立同分布下的拜占庭鲁棒的联邦学习方法。这种方法能有效识别用户与历史学习更新的差异，捕获可疑的异常更新，降低恶意攻击对模型的影响，还能提高对良性用户差异性的容忍度，保证数据非独立同分布场景下的模型精度。

实现本发明目的的技术方案是：

一种数据非独立同分布下的拜占庭鲁棒的联邦学习方法,包括如下步骤：

步骤1：服务器端保留用户的历史更新：

客户端发送更新参数给服务器后，服务器端保存每一个用户的历史更新H_i，每次聚合前记录用户提交的模型参数W_i ^t，将当前的模型参数W_i ^t与历史更新H_i进行叠加；历史更新H_i ^t的叠加公式如(1)所示：

步骤2：计算当前更新与历史更新的相似度：

将服务器接收到的客户端模型参数W_i ^t与用户的历史更新H_i ^t-1进行对比，计算当前用户更新参数W_i ^t与用户历史更新之间的向量差S_i，及历史更新与当前更新的余弦相似度cos<W_i ^t,H_i ^t-1>；

步骤3：对比用户间当前更新与历史更新相似度的差异，区分恶意用户和良性用户的更新行为差异：

对比学习各个用户当前更新与历史更新的向量差值S_i，综合历史相似度cos<W_i ^t,H_i ^t-1>，通过观察用户更新的历史相似度差异值，判断用户是否受到攻击或异常更新；

通过对用户的历史更新与本轮更新差异的数据进行训练观察，利用对比学习方法，最大化恶意用户间的表示相度性，缩小恶意用户间的向量表示差距，逐步拉大恶意用户与良性用户间的向量表示距离，从而区分恶意用户和良性用户；

引入服务器可知的恶意节点，模仿对比学习中少量的标签数据，得到恶意样本对，恶意节点的引用方式分为以下四种：

1.在训练开始的首轮引入，引入即刻激活的恶意节点，模拟从一开始就是恶意用户的参与方；

2.在训练开始的首轮引入，前期表现良好，后几轮才激活的恶意节点，模拟在训练途中被攻击的参与方；

3.在训练中途加入，引入即刻激活的恶意节点，模拟中途加入联邦学习，加入训练立马发动攻击的恶意节点；

4.在训练中途加入，前期表现良好，后几轮才激活的恶意节点，模拟中途加入联邦学习，后期被攻击的参与方；

引入恶意节点后，利用已知的恶意节点更新参数，比较恶意用户当前更新与历史更新的变化幅度；具体方法为，将步骤2计算的W_i ^t与H_i ^t-1之间的向量差S_i送入两个卷积编码器获得抽象表示，之后对这些表示形式应用非线性变换进行投影得到投影表示Z_i；

对比损失函数如公式(2)所示：

其中b1代表恶意用户1，b2代表恶意用户2，Sim()为计算两者的余弦相似度；在对比学习过程中，通过最小化损失函数，逐步拉近恶意用户的模型向量表达，拉远恶意用户和良性用户间的向量表达，以此区分恶意用户和良性用户；

综合对比学习结果和余弦相似度cos<W_i ^t,H_i ^t-1>，得到用户i为良性用户的概率P_i-g，如公式(3)所示：

P_i-g＝αP_i-c+(1-α)cos<W_i ^t,H_i ^t-1>                  (3)，

其中P_i-c为对比学习判断用户i为良性用户的结果，α为调整判断结果中对比学习和用户更新向量余弦相似度的比重参数；

步骤4：降低恶意用户的聚合学习率：

根据步骤3的结果，调整参与聚合的用户的学习率，通过降低恶意用户的学习率，来降低恶意用户对全局模型的影响，达到防御恶意攻击的目的；

步骤5：聚合用户更新，得到新的全局模型：

服务器根据步骤4调整后的聚合学习率，聚合得到新的全局模型，聚合公式如公式(4)所示：

重复步骤1至步骤5进行多轮迭代，直至模型收敛。

本技术方案的技术优势：

目前联邦学习的拜占庭攻击防御方案主要基于统计知识和聚类的方法，这类防御方法在实际应用场景下的短板明显，即在现实条件的数据非独立同分布(non-iid)情况下，精度不佳，导致实际效用显著降低。

对比于目前的防御方法，本方案的主要技术优势有采用异常检测模型有效捕获可疑用户、提高对良性用户的差异容忍度、提升在non-ii场景下的模型精度。具体描述如下：

1、采用历史更新异常检测，有效识别用户与历史学习更新的差异，捕获可疑的异常更新，降低恶意攻击对模型的影响。目前针对联邦拜占庭攻击的防御方法，多是基于统计知识和聚类的方法，然而这一类方法在non-iid的场景下对抵御拜占庭攻击无效。基于异常检测的机制对比传统统计知识的方法更具针对性；基于历史更新的异常检测能有效检测时间维度上的更新异常。

2.提高对良性用户差异性的容忍度，保证数据非独立同分布场景下(non-iid)的模型精度。在本方法中对比方法，虽然同样是在用户间进行对比，但本方法对比的是用户和自己的历史更新之间的相似度，而非同一轮聚合中各用户之间的更新相似度，以此提高对良性用户更新差异性的包容程度。

这种方法能有效识别用户与历史学习更新的差异，捕获可疑的异常更新，降低恶意攻击对模型的影响，还能提高对良性用户差异性的容忍度，保证数据非独立同分布场景下的模型精度。

附图说明

图1为实施例的整体框架图；

图2为实施例中模型参数W_i ^t与H_i向量相加的示意图；

图3为实施例中模型参数W_i ^t与H_i更新方向相近时向量相减的示意图；

图4为实施例中模型参数W_i ^t与H_i更新差异大时向量相减的示意图。

具体实施方式

下面结合附图和实施例对本发明内容做进一步阐述，但不是对本发明的限定。

实施例：

本例适用于企业单位级的横向联邦学习，如多个医院间的医疗数据联邦学习建模。

医疗数据因涉及患者个人敏感信息，属于高隐私性数据。医院的独立性和信息的私密性，使得医疗数据的机器学习缺乏足够样本，想要在保护各医院用户隐私的同时实现有效的模型学习，联邦学习将会是先进且可行的途径。然而联邦学习本质上容易受到攻击，导致模型的难以收敛，针对医疗联邦学习的拜占庭攻击防御措施至关重要。且因实际病情数据诊断需求，医疗数据建模对模型的精度具有相对高的要求，在此情况下，保障联邦学习模型的鲁棒性及高精度，是落实医疗联邦学习可行性的重点及难点。

参照图1，一种数据非独立同分布下的拜占庭鲁棒的联邦学习方法,包括如下步骤：

设计一个服务器端S，N个联邦参与方，在联邦学习中，允许参与方中途加入训练，故N动态可变化；用P_i代表第i个参与方(i∈N)，每个参与方有自己的本地数据集D_i；

任务初始阶段：服务器建立N个用户的索引集，发送一个初始化全局模型W给各客户端，客户端在自己的本地数据集上训练模型W，形成第一轮的本地模型更新W_i ¹，引入服务器端可知的r个恶意用户B_j(j∈r<n)；

步骤1：服务器随机抽取M个客户端参与本次聚合，其中M∈N；被选中的M个客户端发送本地更新W_i ¹到服务器端参与聚合，初始轮，服务器保存用户i本次提交的更新向量表示H_i ¹(H_i ¹＝W_i ¹)，往后t轮时，服务器保存用户i第t轮提交的更新向量表示，将W_i ^t与历史更新的累加结果H_i ^t-1相加，模型参数W_i ^t与H_i向量相加如图2所示；

历史更新H_i ^t的叠加公式如(1)所示：

步骤2：服务器接收到用户i提交的更新参数W_i ^t后，将W_i ^t与上一次保存的用户i的历史更新H_i ^t-1进行对比，计算两者的向量差S_i＝H_i ^t-1-W_i ^t，S_i如图3所示；当当前更新向量与历史更新向量方向相反时，S_i模长会更长，如图4所示，此时更有可能遭受到了攻击；

另外，计算W_i ^t与H_i ^t-1之间的余弦相似度cos<W_i ^t,H_i ^t-1>，计算结果越大，表明更新向量W_i ^t与历史向量H_i ^t-1之间的角度越大，即本次更新与以往的历史更新方向差异值越大；

步骤3：对比恶意用户和良性用户在历史行为上的更新差异：在本例中，采用对比学习方法，对比学习恶意用户与良性用户的历史更新差异，区分恶意用户和良性用户的历史更新行为差异，引入服务器可知的恶意节点，模仿对比学习中少量的标签数据，得到恶意样本对，恶意节点的引用方式分为以下四种：

1.在训练开始的首轮引入，引入即刻激活的恶意节点，模拟从一开始就是恶意用户的参与方；

2.在训练开始的首轮引入，前期表现良好，后几轮才激活的恶意节点，模拟在训练途中被攻击的参与方；

3.在训练中途加入，引入即刻激活的恶意节点，模拟中途加入联邦学习，加入训练立马发动攻击的恶意节点；

4.在训练中途加入，前期表现良好，后几轮才激活的恶意节点，模拟中途加入联邦学习，后期被攻击的参与方；

引入恶意节点后，利用已知的恶意节点更新参数，比较恶意用户当前更新与历史更新的变化幅度；具体方法为，将步骤2计算的W_i ^t与H_i ^t-1之间的向量差S_i送入两个卷积编码器获得抽象表示，之后对这些表示形式应用非线性变换进行投影得到投影表示Z_i；

对比损失函数如公式(2)所示:

其中b1代表恶意用户1，b2代表恶意用户2，Sim()为计算两者的余弦相似度；在对比学习过程中，通过最小化损失函数，逐步拉近恶意用户的模型向量表达，拉远恶意用户和良性用户间的向量表达，以此区分恶意用户和良性用户；

综合对比学习结果和余弦相似度cos<W_i ^t,H_i ^t-1>，得到用户i为良性用户的概率P_i-g，如公式(3)所示：

P_i-g＝αP_i-c+(1-α)cos<W_i ^t,H_i ^t-1>                  (3)，

其中P_i-c为对比学习判断用户i为良性用户的结果，α为调整判断结果中对比学习和用户更新向量余弦相似度的比重参数；

步骤4：根据步骤3中综合对比学习和余弦相似度的结果，降低恶意用户的聚合学习率，经过步骤3，服务器端得到本轮选中聚合用户是良性用户的概率P_g，根据概器率调整服务器端的学习率η_i＝η_i*P_g，η_i代表服务器聚合用户i的学习率；

针对步骤3中的四种引入方式的服务可知的恶意节点，通过以下表1方式调整恶意节点的聚合学习率：

，

步骤5：服务器依据调整后的学习率，聚合本次选中的用户提交的更新参数，得到新的全局模型W^t+1，聚合公式如公式(4)所示：

其中，N为总参与方数量，M为本轮选中参与聚合的参与方数量，

为用户i的更新参数，

更新后的全局模型W^t+1将下发给各联邦参与方，进行下一轮训练；

重复步骤1至步骤5进行多轮迭代，直至模型收敛。

Claims (1)

1.一种数据非独立同分布下的拜占庭鲁棒的联邦学习方法，其特征在于，包括如下步骤：

步骤1：服务器端保留用户的历史更新：

客户端发送更新参数给服务器后，服务器端保存每一个用户的历史更新H_i，每次聚合前记录用户提交的模型参数W_i ^t，将当前的模型参数W_i ^t与历史更新H_i进行叠加；历史更新H_i ^t的叠加公式如(1)所示：

步骤2：计算当前更新与历史更新的相似度：

将服务器接收到的客户端模型参数W_i ^t与用户的历史更新H_i ^t-1进行对比，计算当前用户更新参数W_i ^t与用户历史更新之间的向量差S_i，及历史更新与当前更新的余弦相似度cos<W_i ^t,H_i ^t-1>；

步骤3：对比用户间当前更新与历史更新相似度的差异，区分恶意用户和良性用户的更新行为差异：

对比学习各个用户当前更新与历史更新的向量差值S_i，综合历史相似度cos<W_i ^t,H_i ^t-1>，通过观察用户更新的历史相似度差异值，判断用户是否受到攻击或异常更新；

通过对用户的历史更新与本轮更新差异的数据进行训练观察，利用对比学习方法，最大化恶意用户间的表示相度性，缩小恶意用户间的向量表示差距，逐步拉大恶意用户与良性用户间的向量表示距离，从而区分恶意用户和良性用户；

引入服务器可知的恶意节点，模仿对比学习中少量的标签数据，得到恶意样本对，恶意节点的引用方式分为以下四种：

1.在训练开始的首轮引入，引入即刻激活的恶意节点，模拟从一开始就是恶意用户的参与方；

2.在训练开始的首轮引入，前期表现良好，后几轮才激活的恶意节点，模拟在训练途中被攻击的参与方；

3.在训练中途加入，引入即刻激活的恶意节点，模拟中途加入联邦学习，加入训练立马发动攻击的恶意节点；

4.在训练中途加入，前期表现良好，后几轮才激活的恶意节点，模拟中途加入联邦学习，后期被攻击的参与方；

引入恶意节点后，利用已知的恶意节点更新参数，比较恶意用户当前更新与历史更新的变化幅度；具体方法为，将步骤2计算的W_i ^t与H_i ^t-1之间的向量差S_i送入两个卷积编码器获得抽象表示，之后对这些表示形式应用非线性变换进行投影得到投影表示Z_i；

对比损失函数如公式(2)所示：

其中b1代表恶意用户1，b2代表恶意用户2，Sim()为计算两者的余弦相似度；在对比学习过程中，通过最小化损失函数，逐步拉近恶意用户的模型向量表达，拉远恶意用户和良性用户间的向量表达，以此区分恶意用户和良性用户；

综合对比学习结果和余弦相似度cos<W_i ^t,H_i ^t-1>，得到用户i为良性用户的概率P_i-g，如公式(3)所示：

P_i-g＝αP_i-c+(1-α)cos<W_i ^t,H_i ^t-1>                  (3)，

其中P_i-c为对比学习判断用户i为良性用户的结果，α为调整判断结果中对比学习和用户更新向量余弦相似度的比重参数；

步骤4：降低恶意用户的聚合学习率：

根据步骤3的结果，调整参与聚合的用户的学习率，通过降低恶意用户的学习率，来降低恶意用户对全局模型的影响，达到防御恶意攻击的目的；

步骤5：聚合用户更新，得到新的全局模型：

服务器根据步骤4调整后的聚合学习率，聚合得到新的全局模型，聚合公式如公式(4)所示：

重复步骤1至步骤5进行多轮迭代，直至模型收敛。

Images