Federated Learning With Differential Privacy:Algorithms and Performance Analysis
1.整篇论文的总结:
(1)提出了一种基于差分隐私的联邦学习框架:NbAFL(noising before model aggregation FL),在局部模型聚合成全局模型之前加入噪声(客户端和服务器端都会加噪声)。
(2)对训练的FL模型的损失函数规定了一个理论上的收敛界限(就是要求损失函数低于某个值),在这个收敛界限下进行实验,揭示了三个主要发现:
i.NbAFL的收敛性能和提供的隐私保护级别(主要指加入噪声的多少)之间存在一个平衡,即收敛性能越好,保护级别越低;反之亦然。
ii.给定固定的隐私保护级别,增加参与FL的整体客户端数量N可以提高最终模型的收敛性能;
iii.在给定的隐私保护级别下,就收敛性能而言,存在一个最佳的最大聚合次数T。
(3)在上述三个发现的基础上,作者还提出了一种 K- 客户端随机调度策略,其中从 N 个整体客户端中随机选择 K(1 ≤ K < N)个客户端参与每轮的模型聚合。在这种情况下,也为损失函数制定了相应的收敛界限,并且 K-client 随机调度策略也保留了上述三个属性。
此外,实验表明,在给定的隐私保护级别下,使用K-客户端随机调度策略,我们可以找到一个确定的K,使得最终的模型的收敛性能最好。
(4)虽然联邦学习能够避免用户将本地数据上传至服务器,但用户训练好的模型的参数以及服务器下发给用户的全局模型中的参数依然有可能被攻击者利用,因而这篇文章的目的就是利用差分隐私在一定程度上解决上述隐私问题,同时使得模型的收敛性能不会因加入了噪声而受到太大的影响。也就是在两者之间寻求一个最佳的平衡点。(更具体的说,是考虑了四个因素:隐私保护级别,收敛性能,每次选择的客户端数量,全局聚合次数。)
2.一些主要的符号:
作者假设上行信道比下行广播信道更安全,因为客户端可以在每个上传时间动态分配到不同的信道(例如,时隙、频带),而下行信道是将全局模型广播给客户端,更容易被攻击者截获模型参数信息。
3.提出的加入联邦学习的差分隐私机制:
4.敏感度S的推导(客户端和服务端)以及添加的噪声的大小:
第i个客户端的模型训练过程由下列公式表示:
由(4)进一步可以推导出第i个客户端的敏感度(C表示梯度的裁剪阈值):
由(5)可以得到整个上行链路(能够满足所有客户端)的敏感度:
由(5)和(6)可以看到,客户端的敏感度和数据集的大小成反比。经过推导,应该给每个客户端训练好的模型添加的噪声大小如下:
其中L为本地模型的参数数目。
同样,推导出下行链路(服务器端)的敏感度:
那么当Pi=1/N,即每个本地模型参与聚合时的重要性占比相等时,有一个最佳的敏感度(最佳的意思就是从最大值里面找最小值)。然后作者提到:在NbAFL中,对于客户端,每次训练好本地模型后,是一定得添加噪声再发给服务器端的;而服务器端在分发全局模型时是否添加噪声,这是不一定的。至于到底加不加,由下列式子决定:
可以看到,服务器端是否添加噪声来形成差分隐私保护,是由T(聚合次数)、L(模型的参数数目)、N(参与联邦学习的客户端数量)三者的关系决定的。(10)的理论基础是:直觉上看,当L为定值时,T 越大,信息泄露的机会越大,而客户端数量N越大,更有助于隐藏每个客户端的私人信息。
5.NbAFL的运行流程:
算法如下所示:
通过上面的算法介绍,可以来分析 NbAFL 的隐私保护性能。首先,服务器接收所有本地参数的集合,由于 NbAFL 中的局部扰动,恶意攻击者很难从其上传的参数 w i 推断 i 客户端的信息。模型聚合后,聚合后的参数 w 将通过广播通道发送回客户端,这可能会对客户的隐私构成威胁,因为潜在的攻击者可能会从 w 泄露有关单个客户的敏感信息。在这种情况下,根据定理 1来判断是否对 w 添加噪声。这样就起到了传统FL无法达到的隐私保护作用。
6.NbAFL的收敛性能分析:
前面已经说明NbAFL的确能够起到隐私保护的效果,刚开始也提到过,隐私保护效果越好,收敛性能就会相对降低。
下面给出每轮迭代后,损失函数相对于上一轮的改变量:
我们希望(12)的右边越小越好,那么选择一个合适的u就很关键(u是联邦学习开始时确定的一个常量)。
然后又得到了一个整体噪声(客户端和服务器端噪声的融合):
通过上面的(12)(13),得到给定的隐私保护级别下,NbAFL的收敛上界表达式:
总结出的三个remark:
7.K-client随机调度策略:
前面已经把选择所有客户端(N个)进行联邦学习的NbAFL讲完了,作者在此基础上进一步提出了K-client随机调度策略,也就是从N个用户中选择K个参与训练,实验证明这样的收敛性能会更好。
对于K-client随机调度策略,在客户端加入的噪声大小是和之前选择所有客户端一样的,而下行链路(即服务器端所加的)噪声大小有一些不同,具体由下列公式给出:
由(16)可以推导出K-client情形下的收敛上界:
由(17)可以得到以下结论:
8.实验结果图:文章来源:https://www.toymoban.com/news/detail-672904.html
文章来源地址https://www.toymoban.com/news/detail-672904.html
到了这里,关于[paper reading] Federated Learning With Differential Privacy:Algorithms and Performance Analysis的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!