联邦学习攻防综述

联邦学习简介

联邦学习使得无法被汇聚在一起的多个数据源,可以通过不可逆的模型信息训练共享模型。

整体的流程被划分成 3 个阶段:1)共享模型分发;2)本地模型训练;3)模型信息收集、聚合与模型更新,如下图所示联邦学习攻防综述_第1张图片

 攻击类型

联邦学习的两个重要目标分别是隐私保护和联合建模,而这两个目标也是攻击者的攻击方向。这篇论文根据攻击者的方向,将攻击类型划分为3类。

(1)机密性攻击,攻击者尝试从传递的数据中推断隐私信息。联邦学习为了避免原始数据出库,传递的数据通常是不可逆的模型信息,如神经网络的权重参数、决策树中的信息增益。但只要联合模型有效,那么传递的数据将不可避免地泄漏原始训练数据的信息。

(2)正直性攻击,攻击者尝试破坏联邦模型在特定输入上的功能,而保证其在遇到其他输入时正常输出。攻击者的目的在于诱导目标模型,在遇到特定输入时输出攻击者设定的预测值。

(3)可用性攻击,攻击者尝试阻碍正常参与者构建或者访问一个有效联邦模型。攻击者的攻击点分为两个:1)在构建模型的过程中降低联邦模型的质量(如破坏模型的收敛性);2)在访问联邦模型时,利用 DoS 泛洪攻击使得提供模型的服务器瘫痪。

攻击面

在模型训练过程中,各参与者需要在本地依次进行全局模型参数下载、数据的收集与预处理、本地模型训练以及模型参数上传;而服务器则需要收集参与者模型参数、聚合参数以及分发参数。当模型训练完成后,需要将模型以 API接口的形式

你可能感兴趣的:(深度学习)