機器之心發(fā)布
機器之心編輯部
在深度學(xué)習(xí)時代,聯(lián)邦學(xué)習(xí)(FL)提供了一種分布式的協(xié)作學(xué)習(xí)的方法,允許多機構(gòu)數(shù)據(jù)所有者或客戶在不泄漏數(shù)據(jù)隱私的情況下協(xié)作訓(xùn)練機器學(xué)習(xí)模型。然而,大多數(shù)現(xiàn)有的 FL 方法依賴于集中式服務(wù)器進(jìn)行全局模型聚合,從而導(dǎo)致單點故障。這使得系統(tǒng)在與不誠實的客戶打交道時容易受到惡意攻擊。本文中,F(xiàn)Lock 系統(tǒng)采用了點對點投票機制和獎勵與削減機制,這些機制由鏈上智能合約提供支持,以檢測和阻止惡意行為。FLock 理論和實證分析都證明了所提出方法的有效性,表明該框架對于惡意客戶端行為具有魯棒性。
現(xiàn)今,機器學(xué)習(xí)(ML),更具體地說,深度學(xué)習(xí)已經(jīng)改變了從金融到醫(yī)療等廣泛的行業(yè)。在當(dāng)前的 ML 范式中,訓(xùn)練數(shù)據(jù)首先被收集和策劃,然后通過最小化訓(xùn)練數(shù)據(jù)上的某些損失標(biāo)準(zhǔn)來優(yōu)化 ML 模型。學(xué)習(xí)環(huán)境中的一個共同基本假設(shè)是訓(xùn)練數(shù)據(jù)可以立即訪問或輕松地跨計算節(jié)點分發(fā),即數(shù)據(jù)是「集中式」的。
然而,在一個擁有多個「客戶端」(即數(shù)據(jù)持有者)的系統(tǒng)中,為了確保數(shù)據(jù)集中化,客戶端必須將本地數(shù)據(jù)上傳到一個集中設(shè)備(例如中心服務(wù)器)以進(jìn)行上述的集中式訓(xùn)練。盡管集中式訓(xùn)練在各種深度學(xué)習(xí)應(yīng)用中取得了成功,但對數(shù)據(jù)隱私和安全的擔(dān)憂日益增長,特別是當(dāng)客戶端持有的本地數(shù)據(jù)是私有的或包含敏感信息時。
聯(lián)邦學(xué)習(xí)(FL)可以解決訓(xùn)練數(shù)據(jù)隱私的問題。在一個典型的 FL 系統(tǒng)中,一個中心服務(wù)器負(fù)責(zé)聚合和同步模型權(quán)重,而一組客戶端操縱多站點數(shù)據(jù)。這促進(jìn)了數(shù)據(jù)治理,因為客戶端僅與中心服務(wù)器交換模型權(quán)重或梯度,而不是將本地數(shù)據(jù)上傳到中心服務(wù)器,并且已經(jīng)使 FL 成為利用多站點數(shù)據(jù)同時保護(hù)隱私的標(biāo)準(zhǔn)化解決方案。
然而,現(xiàn)有的 FL 大多不能保證來自客戶端的上傳模型更新的質(zhì)量。例如,我們可以將惡意行為定義為通過投毒攻擊故意降低全局模型學(xué)習(xí)性能(例如準(zhǔn)確性和收斂性)的行為。攻擊者可以通過操縱客戶端破壞 FL 系統(tǒng),而不是黑進(jìn)中心服務(wù)器。這項工作專注于防御客戶端投毒攻擊。
一種解決方案是將 FL 與如全同態(tài)加密(FHE)和安全多方計算(SMPC)等復(fù)雜的密碼協(xié)議相結(jié)合,以減輕客戶端的惡意行為。然而,采用這些復(fù)雜的密碼協(xié)議為 FL 參與者引入了顯著的計算開銷,從而損害了系統(tǒng)性能。
FLock.io 公司及其合作研究者們(上海人工智能實驗室 Nanqing Dong 博士、帝國理工大學(xué) Zhipeng Wang 博士、帝國理工大學(xué) William Knoettenbelt 教授、及卡內(nèi)基梅隆大學(xué) Eric Xing 教授)通過提出一種基于區(qū)塊鏈和分布式賬本技術(shù)的安全可靠的 FL 系統(tǒng)框架來解決傳統(tǒng)聯(lián)邦學(xué)習(xí)(FL)依賴于集中式服務(wù)器進(jìn)行全局模型聚合,從而導(dǎo)致單點故障這個問題,并將此系統(tǒng)設(shè)計命名為 FLock。
在該研究中,團(tuán)隊借助區(qū)塊鏈、智能合約和代幣經(jīng)濟(jì)學(xué)設(shè)計一種可以抵抗惡意節(jié)點攻擊(尤其是投毒攻擊)的 FL 框架。該工作的成果近期被 IEEE Transactions on Artificial Intelligence (TAI) 接收。
論文鏈接:https://ieeexplore.ieee.org/document/10471193
論文標(biāo)題:Defending Against Poisoning Attacks in Federated Learning with Blockchain
方法介紹
靈感來源
FLock 的機制設(shè)計受到了證明權(quán)益(PoS)區(qū)塊鏈共識機制和桌面游戲《The Resistance》(一種角色扮演類游戲,該游戲的一個變種叫阿瓦。┑膯l(fā)。
PoS 要求參與者通過獎勵誠實行為并通過削減權(quán)益來懲罰不誠實行為,鼓勵誠實行為。例如,在以太坊上,希望參與驗證區(qū)塊并識別鏈頭的節(jié)點運營商將以太幣存入以太坊上的智能合約中。某位驗證者從總驗證者池中隨機選擇作為區(qū)塊提出者提出新區(qū)塊, 其他驗證者則檢查新區(qū)塊并證明它們是否有效。如果驗證者未能完成其中相應(yīng)的任務(wù),他們就即會受到懲罰或削減;誠實節(jié)點則會收到獎勵。
《The Resistance》游戲則通過投票機制,每輪游戲中玩家獨立推理并投票,從而實現(xiàn)全局共識!禩he Resistance》有兩個不匹配的競爭方,其中較大的一方被稱為抵抗力量,另一方被稱為間諜。在《The Resistance》中,有一個投票機制,在每一輪中,每個玩家進(jìn)行獨立推理并為一個玩家投票,得票最多的玩家將被視為「間諜」并被踢出游戲。抵抗力量的目標(biāo)是投票淘汰所有間諜,而間諜的目標(biāo)是冒充抵抗力量并生存到最后。
整體設(shè)計
基于 PoS 和《The Resistance》的啟發(fā),F(xiàn)Lock 提出了一個新穎的基于區(qū)塊鏈的 FL 全局聚合的多數(shù)投票機制,其中每個 FL 參與客戶端獨立驗證聚合本地更新的質(zhì)量,并為全局更新的接受度投票。參與者需要抵押資產(chǎn)或代幣。
每一輪 FL 訓(xùn)練中,參與者將被隨機選中參與兩種類型的行動,提議(上傳本地更新)和投票。聚合者(可以是區(qū)塊鏈礦工或者其他 FL 鏈下聚合者)將對收到的本地更新進(jìn)行聚合從而得到全局聚合。如果大多數(shù)投票接受全局聚合,提議者將退還其抵押的代幣,而投票接受的投票者不僅會退還,而且還會獲得投票拒絕的投票者的抵押代幣的獎勵,反之亦然。
基于股權(quán)基礎(chǔ)聚合機制的整體設(shè)計如下圖所示。
算法細(xì)節(jié)如下所示:
在每一輪中,從參與的客戶端中隨機選擇提議者來進(jìn)行本地訓(xùn)練并將本地更新上傳到區(qū)塊鏈。
隨機選擇的投票者將下載聚合的本地更新,執(zhí)行本地驗證,并投票接受或拒絕。
如果大多數(shù)投票者投票「接受」,那么全局模型將被更新,提案者和投票「接受」的投票者將獲得獎勵。
相反,如果大多數(shù)投票者投票「拒絕」,則全局模型將不會更新,提案者和投票「接受」的投票者的抵押代幣將被削減。
該算法的最終目標(biāo)是讓惡意參與者的長期平均收益為負(fù)值,進(jìn)而使其抵押代幣削減到低于某個允許閾值,從而被提出 FL 系統(tǒng)。
實驗結(jié)果
FLock 的實驗在 Kaggle Lending Club 數(shù)據(jù)集和 ChestX-ray14 數(shù)據(jù)集上顯示分析了該方案的可行性和魯棒性,包括:
與傳統(tǒng) FL 相比,F(xiàn)Lock 抵抗惡意節(jié)點的能力:如下圖所示,F(xiàn)Lock (即 FedAVG w/block)在有惡意節(jié)點的情況下仍然保持了穩(wěn)健的性能。
惡意參與者的抵押代幣變化:同理論分析一致,惡意參與者的平均代幣隨著訓(xùn)練輪數(shù) / 時間的增加而減少。并且,如果懲罰力度增大(即 \gamma 增大),則惡意參與者的平均代幣的減少速度將會增大。
誠實參與者的抵押代幣變化:相對應(yīng)的,誠實參與者的平均代幣隨著訓(xùn)練輪數(shù) / 時間的增加而增加。并且,如果懲罰力度增大大(即 \gamma 增大),則誠實參與者的平均代幣的增加速度將會增大。
惡意參與者的存活時間:惡意參與者的存活時間將會隨著懲罰力度增大而縮短。
誠實參與者的存活時間:FLock 的實驗結(jié)果也指出,在惡意節(jié)點占比較多的時候(即 \eta 增大時),較大的懲罰力度也會造成部分誠實節(jié)點的存活時間縮短(因為每一輪的提議者和投票者是隨機選取的)。因此,在實際應(yīng)用中,要結(jié)合考慮惡意節(jié)點占比(即 \eta)設(shè)置懲罰力度(即 \gamma)。
總結(jié)與展望
FLock 提出了一種基于區(qū)塊鏈、智能合約和代幣經(jīng)濟(jì)學(xué)的可以抵惡意節(jié)點攻擊的 FL 框架。該方案論證了區(qū)塊鏈和 FL 結(jié)合的可行性,證明了區(qū)塊鏈不僅可以在去中心化和激勵參與者在金融和醫(yī)學(xué)等領(lǐng)域的現(xiàn)實世界中的 FL 應(yīng)用中發(fā)揮重要作用,而且還可以用來防御投毒攻擊。
FLock 的方案已被進(jìn)一步落地實現(xiàn):https://www.flock.io/
團(tuán)隊將于近期推出首個版本的去中心化 AI 模型訓(xùn)練平臺,基建包括了激勵體系,聯(lián)邦學(xué)習(xí)和一鍵微調(diào)腳本。平臺將主要面向兩類人群:Developer:歡迎各位 Kaggle 及 Huggingface 玩家早期入駐,完成模型訓(xùn)練與驗證以獲得激勵;Task Creator:有模型訓(xùn)練或者微調(diào)需求的公司或者團(tuán)隊可以在FLock平臺上發(fā)布任務(wù),F(xiàn)Lock提供基建組織開發(fā)者,從而省去組建AI團(tuán)隊,尋找用戶基礎(chǔ)與數(shù)據(jù)的復(fù)雜過程,并簡化工作流。有興趣請郵件 FLock 團(tuán)隊:hello@flock.io
研究方面,F(xiàn)Lock 也正在探索更加多維度的 decentralized AI 安全解決方案,如借助零知識證明解決 FL 中心節(jié)點作惡的問題。
研究地址:https://arxiv.org/pdf/2310.02554.pdf
Let's wait for more decentralized AI solutions from FLock!
與此同時,F(xiàn)Lock.io 公司致力于將此技術(shù)投入到工程實踐,也于最近官宣種子輪六百萬美元的融資,由 Lightspeed Faction(光速美國)領(lǐng)投。