我们的贡献如下:
- 我们研究了FL设置中的无数据剪枝防御,并发现中毒参数倾向于与良性参数在统计上耦合,我们将这种效应称为FL后门中的“中毒耦合”效应。据我们所知,这一发现尚未在文献中出现。
- 我们提出了Lockdown,这是一种利用隔离子空间训练思想来解耦中毒参数的后门防御方法。值得注意的是,Lockdown i)减少了服务器与客户端之间的通信,ii)降低了模型的训练/推理复杂度。
- 我们进行了评估以证明Lockdown的有效性。结果表明,Lockdown在不同的攻击设置(攻击方法、攻击者数量和中毒比例)和不同的数据分布(IID和Non-IID)下始终优于现有的防御基线。
- 我们进行了消融研究和超参数敏感性分析,以验证Lockdown每个组成部分的单独功能。
稀疏训练。稀疏训练最初是为了在训练和部署阶段降低模型复杂度而设计的。SET(Mocanu等人,2018)首次提出了动态子空间搜索与交替剪枝和恢复过程的想法,并通过即时过参数化(Liu等人,2021b,a,2022)的概念进行了实证研究。(Evci等人,2020)进一步引入梯度信息来指导掩码搜索过程。这种模型压缩技术最近已被扩展到FL(Bibikar等人,2022;Huang等人,2022b;Dai等人,2022)。
我们利用稀疏训练技术开发了一种新的后门防御解决方案。据我们所知,这是首次将稀疏训练与FL中的后门防御联系起来。
基于剪枝的防御案例研究
出于提出一种计算友好的防御方法的目标,我们将原本为集中式机器学习提出的基于剪枝的防御方法扩展到联邦学习设置中。我们研究了在(Zheng等人,2022)中提出的CLP防御方法,针对使用集中式随机梯度下降(集中式后门)训练的两个中毒模型和由FedAvg产生的全局模型(联邦后门)。令人惊讶的是,我们观察到剪枝防御在这两个模型上表现出显著不同的性能。
观察结果。在图2的左侧,我们观察到剪枝算法无法有效消除联邦后门的后门参数。只有在利用较大的剪枝比例时,攻击成功率(ASR)才能降至可接受范围(例如30%),相应地,这也导致良性准确率大幅下降(例如下降35%)。在中间部分,我们绘制了两个模型的通道利普希茨性(CL),发现联邦后门的CL值在一个更紧凑的范围内耦合,这使得剪枝方法难以找出要剪枝的恶意通道。这解释了为什么CLP对联邦后门无效。在右侧,我们绘制了最后一层卷积层权重的L2范数,可以观察到联邦后门存在相同的耦合效应——不同通道的L2范数都在一个小范围内。
中毒耦合效应。总结来说,我们的主要发现是联邦后门模型难以通过传统的剪枝方法治愈,因为后门参数与良性参数之间没有显著的统计差异,即它们倾向于与良性参数耦合。 我们将这种现象称为联邦后门的“中毒耦合效应”。由于存在中毒耦合效应,如果模型已经通过联邦学习过程完全训练,那么准确识别中毒参数几乎是不可能的,从而降低了纯参数剪枝防御的效率。
method
孤立子空间训练的插图。蓝色圆圈和阴影区域分别表示模型和训练子空间的参数。左:vanilla FL,恶意客户端可以毒害所有参数。右:孤立的子空间训练,恶意客户端只能毒害其中的一个子空间。
为了减轻中毒耦合效应,我们提出了具有隔离子空间训练的Lockdown。直观上,我们不允许恶意客户端访问所有参数,而只能访问其中的一个子空间(见图1),以防止它们将中毒参数与本应执行正常功能的良性参数在统计上耦合。
Lockdown的高级思想如下:i)我们采用隔离子空间训练,将每个客户端的训练限制在其自己的子空间内,使后门数据无法访问并耦合所有参数中的中毒功能。ii)我们采用动态子空间搜索,让客户端使用其本地数据集搜索本地子空间,这些子空间仅涉及它们认为重要的参数。iii)在上述本地过程之后,服务器将把梯度更新聚合到全局模型的相应子空间中,并继续下一轮训练。iv)重复T轮训练后,服务器可以通过共识融合识别恶意参数。
基于恶意/虚拟参数(在特定坐标上)应该较少机会参与良性客户端的子空间的直觉(因为它们不是良性数据集的重要参数)。考虑到系统中良性客户端占多数,共识融合识别那些在所有客户端子空间中出现次数最少的参数为恶意或虚拟参数,然后剪枝以减轻后门行为。接下来,我们将详细介绍Lockdown的每一步。
锁定概述。首先,客户端从服务器端接收子空间模型,并应用孤立子空间训练。其次,客户端上传子空间更新。第三,服务器将更新聚合到全局模型中。训练完成后,采用共识融合算法去除有毒参数。
1、子空间初始化。我们对每个客户端的初始子空间(用二进制变量m_i,0表示)施加总体稀疏度s。为了保持稀疏度的实际性能,我们遵循(Evci等人,2020)使用ERK进行随机子空间初始化,其中相应子空间中的不同层被指定不同的稀疏度。对于每个客户端,我们强制它们具有相同的初始子空间,这可以通过强制它们在子空间生成时使用相同的随机种子来实现。然而,我们确实发现,在某些情况下,异构掩码初始化可以增加保护
2、隔离子空间训练,在这个阶段,每个客户端执行多个本地步骤来训练其隔离子空间内的参数(由其掩码强制执行)。具体来说,对于本地步骤k = 0,…,K - 1,客户端执行以下更新:
3、子空间搜索。我们为客户端进行子空间搜索,以搜索它们的子空间,即根据它们拥有的数据重要的参数。搜索过程分为两个阶段,如下所述:
(1)子空间剪枝。在这个阶段,我们剪枝客户端当前子空间内不发挥作用的不重要参数。在K步本地训练后,我们可以识别出子空间内幅度最小的参数为不重要参数。为了排除它们未来的训练,我们剪枝每个层中最小的α_t参数,并相应地更新掩码到m_i,t+1。正式地,这个过程可以表述如下:
(2)子空间恢复。剪枝后,在下一轮本地训练开始之前,客户端恢复与其子空间相同数量的参数(由α_t−1表示)以进行探索。为了确定哪些参数应该恢复,我们使用每个客户端的数据提取剪枝后的权重梯度,即提取∇fi(wi,t,0)。然后我们通过识别每层中梯度幅度最大的α_t−1百分比的参数来恢复α_t−1百分比的参数,并相应地更新掩码到m_i,t+1
4、聚合。一旦子空间训练完成,客户端将本地子空间的梯度更新上传到服务器进行聚合。为了将知识聚合到全局模型中,我们根据它们的坐标贡献平均梯度更新,如下所示
5、共识融合(CF)。鉴于那些用于识别后门触发器的恶意参数将被视为良性客户端的不重要参数,它们不应包含在占多数的良性客户端的子空间中。这一观察结果启发我们在T轮全局模型训练后使用共识融合来消除恶意参数。正式地,共识融合算子返回一个向量,满足:
实验
可视化。每个平方代表一个过滤器的权重。左/中/右:将权重投影到攻击者/良性客户端/共识子空间中。中间的条形图:分类器中的权重连接第86个过滤器与不同的神经元。“马”是我们的后门目标
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
