Secure Federated Transfer Learning（论文笔记）

论文链接： https://arxiv.org/pdf/1812.03337.pdf                                  
                                       
常用迁移学习形式化表示符号：

Abstract ：概要

  机器学习依赖于大量数据的可用性来进行训练。然而，实际上，大多数数据分散在不同的组织中，并且在许多法律和实际限制下很难聚合。在本文中，我们引入了一种新技术和框架，称为**联邦转移学习（FTL）**，以改进数据联合下的统计模型。联盟允许在**不损害用户隐私的情况下共享知识，并且允许在网络中传送互补知识**。因此，目标域方可以通过利用源域方的丰富标签来构建更灵活，更强大的模型。还提出了一种**安全传输交叉验证方法来保护联邦下的FTL性能**。该框架需要对现有模型结构进行少量的修改，并提供与非隐私保护方法相同的准确度。该框架非常灵活，可以有效地适应各种安全的多方机器学习任务。

Introduction ：简介

现阶段的形势与问题：

1. 在各个行业中，更多的应用领域只有很小或质量较差的数据
2. 标记数据非常昂贵，特别是在需要人类专业知识和领域
3. 各组织也越来越难以合并其数据
4. 使大量的业务和应用程序只有少量的数据建立有效和准确的人工智能模型
5. (很少的样本和功能)或弱监管(很少的标签)的情况下，解决数据隐私、安全和监管是一大挑战

解决问题
To overcome these challenges, Google first introduced **federated learning (FL) system** (McMahan et al. 2016) in which a global machine learning model is updated by a federation of distributed participants while keeping their data locally. Their framework require all contributors
share the same feature space。

为了克服这些挑战，Google首先引入了联邦学习(FL)系统(McMahan等人)。2016)，其中一个全局机器学习模型由一个分布式粒子联合会更新。 在**本地保存数据**的时候。它们的框架**要求所有贡献者共享相同的特性空间**。

论文的主要贡献

We introduce federated transfer learning in a privacy preserving setting to provide solutions for federation problems beyond the scope of existing federated learning approaches;We provide an end-to-end solution to the proposed FTL problem and show that convergence and accuracy of the proposed approach is comparable to the non-privacy preserving approach;We provide a novel approach for adopting additively homomorphic encryption (HE) to multi-party computation (MPC) with neural networks such that only minimal modifications to the neural network is required and the accuracy is almost lossless, whereas most of the existing secure deep learning frameworks suffer from loss of accuracy when adopting privacy-preserving techniques.

**①**我们在privacypreserving设置中引入联合转移学习，以提供超出现有联合学习方法范围的联邦问题的隐私保护解决方案*;
**②**我们为拟议的FTL问题提供端到端解决方案，并表明所提方法的收敛性和准确性与非私有保留方法相当;
**③**我们提供了一种采用 加性同态加密（HE）与神经网络的多方计算（MPC） 的新方法，这样只需要对神经网络进行最小的修改，并且精度几乎是无损的，而大多数现有的安全深度 学习框架在采用隐私保护技术时会失去准确性 

 Problem Defifinition：问题的定义

数据集：数据Da是源域，目标域DB：，其中DA, DB是相互独立分开的。我们还假设存在有限的联合发生样本集

，以及B中有一部分A标签的，其中Nc是目标标签可用的数量。

Without  losing generality, we assume all labels are in party A, but all  the deduction here can be adapted to the case where labels  exist in party B. One can fifind the commonly shared sample ID set in a privacy-preserving setting by masking data  IDs with encryption techniques such as RSA scheme. Here  we assume that A and B already found or both know their  commonly shared sample IDs. Given the above setting, the objective is for the two parities to build a transfer learning model to predict labels for the target-domain party as accurately as possible without exposing data to each other

在不失去通用性的情况下，我们假设所有标签都在A方，但这里的所有扣减都可以适用于B方存在标签的情况，您可以在 一种通过使用加密技术(如RSA方案)掩蔽数据ID来保护隐私的设置。在这里，我们假设A和B已经找到，或者都知道它们共同的示例ID。鉴于上述 设置，目标是建立一个转移学习模型，以便尽可能准确地预测目标域方的标签，而不将数据彼此暴露。

Related Work：相关工作

• 有关加密机器学习的研究激增。例如，google引入了一种安全的聚合方案，以保护聚合用户更新的隐私
• CryptoNet:数据在经过同态加密技术（Homomorphic Encryption)再进行神经网络(Neural Network)计算
• CryptoDL:采用低阶多项式逼近神经网络中的激活函数，以减少预测的精度
• DeepSecure用姚的混淆电路协议进行数据加密而不是HE
• 差异隐私

Transfer Learning ：转移学习是一种为小数据集或弱监控应用提供解决方案的强大技术。

Transfer learning is a powerful technique to provide so lutions for applications with small dataset or weak supervision. In recent years there have been tremendous  amount of research work on adopting transfer learning techniques to various fifields such as image classifification tasks (Zhu et al. 2010), and sentiment analysis (Pan et al. 2010; Li et al. 2017). The performance of transfer learning relies on how related the domains are. Intuitively parties in the same data federation are usually organizations from the same or related industry, therefore are more prone to knowledge propagation.

近几年来，在应用方面进行了大量的研究工作例如：图像分类工作以及情感分析。 因迁移学习关系的性能 是关于这些域如何相关的（源域与目标域的相关性）。从直觉上看，同一数据联盟中的各方通常是来自同一行业或相关行业的组织，因此更容易进行迁移学习。

 Security Defifinition ：安全定义

在我们的安全定义中，所有的参与者都是诚实的。但是如果出现了一个半诚实对手D的威胁模型，其只可以破坏两个数据客户端的其中一个。安全定义是 对于执行协议P(OA，OB)=P(IA，IB)，其中OA和OB是甲方和乙方的输出，IA和IB是它们的输入，如果存在无穷数量的(I‘B，O’B)，则P对A是安全的。

Proposed Approach：拟议方法

 A,B的隐藏层是分别有两个隐藏层产生的其中d是隐藏层的维数

为了标记目标域，引入预测函数：

                                

在不损失太多一般性的情况下，我们假设ϕ(uBj )是线性可分的 

                                           

例子：使用 translator function,

使用可用的标记集编写训练目标函数：（其中ΘA、ΘB分别是NetA和NetB的训练参数。设LA和LB分别为网A和网B的层数）

                                  

                                    

减小A和B之间的对准损耗：

                                       

                                       

假设A和B不允许公开它们的原始数据，这里需要开发一种隐私保护方法来计算(3)和(4)

Additively Homomorphic Encryption ：加同态加密

同态加密被广泛应用于保护隐私的机器学习，以及效率和隐私之间的权衡。在这里我们使用第二阶泰勒近似来解决计算损失和梯度

                                       

                                       

                                        

                                       

 

（算法一）Federated Transfer Learning: Training  

                                                             

• A,B分别初始化，分别创建加密密钥，并相互发送公钥
• A,B运行其独立的神经网络NetA和NetB以获得隐藏层表示
• 计算和加密组件，并将其发送给对方，相互帮助计算神经网络Net的损失L的梯度
• A,B用加密的随机掩码掩盖每个 梯度，相互发送加密的蒙面梯度和损失，并得到解密。一但满足收敛条件，A向B发送终止信号，否则A,B取消标记梯度，更新权重参数，进行下一步迭代

（算法二）Federated Transfer Learning: Prediction

                                                         

当模型训练时，B先利用神经网络NetB和输入的计算，加密并发送给A。然后A创建随机掩码进行评估，掩蔽，并计算，加密发送掩码的给B。B解密并发送给A，A获取，从而预测标签

 （算法三）Federated Transfer Learning: Cross Validation（交叉验证）

                                              

• 首先把源域中的标记数据拆分为k个折叠，每次保留一个折叠数据作为测试集
• k中每层折叠数据都会作为测试集进行迭代：
• 用保留的数据和数据集用算法一训练的得到
• 用算法训练二预测标签，并进行合并标签
• A,B用通过算法1训练出，用算法2预测A方的标签（之前保留的测试集)
• A评估计算误差
• 计算精度

 Security Analysis：安全分析

•  算法1和2中的训练协议不显示任何信息，因为所有的A和B学习都是蒙面梯度。每次迭代A和B都会产生新的随机掩码，从而使随机性a 掩码的保密将保证信息对方的安全。
• 甲方在每一步都要学习自己的梯度，但这还不足以让A从B那里学习到任何信息，因为它不能在n个未知数中解出n个方程。
• 在训练过程结束时，每一方(A或B)对方的数据结构置若罔闻，只获得与其自身特征相关的模型参数。推断 上，双方需要协同计算预测结果。注意，该协议不处理恶意方。如果甲方伪造输入，只提交一份非零INP UT，它可以在输入的位置告诉UBI的值。它仍然不能告诉或ΘB，任何一方都不会得到正确的结果。

 Experiments：实验 

为了验证 我们提出的方法，论文用了两个数据集进行了实验(data set 1: NUS-WIDE, data set 2: Default-Credit），并研究了该方法对于各种关键影响因素的有效性和可伸缩性，包括重叠样本的数量、隐藏com的维度。 MON表示和特性的数量。

NUS范围的数据集(SengChua等人)。(2009)包含数百个来自Flickr图像的低级功能，以及它们的关联标签和地面真相标签。

“违约-信用”数据集由信用卡记录组成，包括用户的人口特征、付款历史和账单等，并以用户的违约付款为标签。

Impact of Taylor approximation 

通过对训练损耗衰减和性能的监测和比较，研究了Taylor近似的影响

在第一种情况下，Neta和NetB都有一个自动编码器层。 编码层有64个神经元。

在第二种情况下，Neta和NetB都有两个自动编码器层，分别有128个和64个神经元。

在这两种情况下，我们使用了500个训练样本，1396对重叠对和γ。 λ=0.005

我们发现，与完全逻辑损失相比，使用Taylor近似时损失以相似的速率衰减，而Taylor近似方法的加权f1积分也是比较的。 在这两种情况下，损失收敛到一个不同的极小值。当我们增加了神经网络的深度，收敛性和 模型的性能不会衰退。

 Transfer learning vs self-learning：迁移学习vs迁移学习

在几乎所有的实验中，所提出的转移学习方法都优于自我学习方法，只使用少量的训练样本。此外，随着训练样本数的增加，算法的性能得到了提高，验证了算法的鲁棒性。

Effect of overlapping samples：重叠样本的影响 

图2显示了改变重叠样本数对迁移学习性能的影响。重叠样本对用于在 因此，随着重叠对可用性的增加，联邦传输学习的性能得到了提高

Scalability：可协调性 

随着我们隐藏表示维度d的增加，运行时间的增加在所测试的重叠样本数量的不同值上加速。
另一方面，运行时间相对于目标域特征的数量以及共享的样本数量线性增长。

Conclusion：结论 

• 提出了联邦转移学习(FTL)框架，并将现有安全联邦学习的范围扩展到更广泛的实际应用
• 证明了对比 对于现有的安全深度学习方法，通常会造成精度损失，与非隐私保护方法相比，该方法具有更高的精度和更好的性能
• 引入了一种可扩展和灵活的方法，用于在神经网络中采用附加同态加密，并对存在进行最小的修改
• 目前的框架不限于 任何特定的学习模式，而是保护隐私的转移学习的一般框架
• 目前的解决方案确实存在局限性。例如，它要求当事人进行交换。 e仅来自公共表示层的加密中间结果不适用于所有传输机制