На помощь приходят безопасные многосторонние вычисления

Федеративное обучение [1] , также известное как Совместное обучение или Машинное обучение с сохранением конфиденциальности, позволяет нескольким организациям, которые не доверяют друг другу (полностью), чтобы сотрудничать в обучении модели машинного обучения (ML) на их объединенном наборе данных; без фактического обмена данными - решение критических проблем, таких как конфиденциальность, права доступа и доступ к разнородным конфиденциальным данным.

Это контрастирует с традиционными (централизованными) методами машинного обучения, когда локальные наборы данных (принадлежащие разным объектам) необходимо сначала привести в общее место перед обучением модели. Его приложения распространены в ряде отраслей, включая оборону, телекоммуникации, здравоохранение, рекламу [2] и чат-ботов [3].

Сценарии атак ML

Давайте теперь сосредоточимся на рисках конфиденциальности, связанных с ОД [4, 5]. На рис. 1 показаны сценарии атак в контексте машинного обучения. В этой настройке есть в основном две широкие категории атак с логическим выводом: атаки с выводом членства и атаки с выводом свойств. Атака с выводом членства относится к простейшему нарушению конфиденциальности, когда цель злоумышленника - определить, присутствовал ли конкретный элемент данных пользователя в обучающем наборе данных. В атаках с выводом свойств цель злоумышленника - восстановить свойства набора данных участника.

Когда злоумышленник не имеет доступа к параметрам обучения модели, он может запускать модели (через API) только для получения прогноза / классификации. Атаки черного ящика [6] по-прежнему возможны в этом случае, когда злоумышленник имеет возможность вызывать / запрашивать модель и наблюдать отношения между входами и выходами.

Безопасное многостороннее вычисление (SMC)

Учитывая приведенные выше сценарии атак, давайте теперь сосредоточимся на применимых подходах к сохранению конфиденциальности.

Федеративное обучение основывается на большом объеме существующих исследований в области безопасных многосторонних вычислений (SMC). SMC позволяет ряду взаимно недоверчивых сторон выполнять совместное вычисление функции своих входных данных, сохраняя при этом конфиденциальность входных данных. Двумя основными примитивами SMC являются: гомоморфное шифрование и совместное использование секрета. У обеих схем есть свои плюсы и минусы, когда дело доходит до безопасного вычисления основных арифметических операций, таких как сложение и умножение.

Гомоморфные схемы шифрования позволяют выполнять арифметические операции локально над значениями открытого текста на основе их зашифрованных значений. С другой стороны, в схемах совместного использования секретов, хотя сложение может выполняться локально путем добавления локальных (незашифрованных) общих ресурсов, умножение требует распределенного сотрудничества между сторонами.

Теоретически сложно сравнивать производительность протоколов, основанных на двух схемах. Например, [7] обеспечивает сравнение производительности двух схем для безопасного протокола сравнения.

Гомоморфное шифрование

Пусть E () и D () обозначают шифрование и дешифрование, соответственно, в системе гомоморфного шифрования. Нам требуется свойство гомоморфности, чтобы разрешить (модульное) добавление открытых текстов. Тогда он считает, что

Из чего простой арифметикой следует, что

Гомоморфная система шифрования - это открытый ключ, т.е. любая сторона может выполнить операцию шифрования E () (сама). В системе порогового шифрования ключ дешифрования заменяется распределенным протоколом. Пусть m будет количеством сторон. Только если t m или несколько сторон сотрудничают, они могут выполнить дешифрование. Никакая коалиция, состоящая из менее чем t партий, не может расшифровать зашифрованный текст.

Обмен секретами

Совместное использование секрета относится к методу распространения секрета среди группы сторон, каждой из которых выделяется доля секрета. Секрет можно восстановить только тогда, когда доли будут объединены вместе (отдельные доли сами по себе бесполезны). В схеме разделения секрета Шамира разделение секрета x достигается следующим образом: каждая сторона Xi имеет значение

где f - случайный многочлен t-степени при условии, что

Совместное использование секретов Shamir легко расширить, чтобы стороны могли вычислять любую линейную комбинацию секретов без получения информации о промежуточных результатах вычислений. Чтобы сложить (вычесть) два общих секрета вместе, игрокам нужно только сложить (вычесть) вместе отдельные доли в каждой точке оценки. Вычислить произведение двух секретов не так тривиально, но все же можно свести его к линейному вычислению. Таким образом, можно безопасно и надежно вычислить любую «арифметическую» функцию (т.е. функцию, включающую только сложение, вычитание и умножение) секретов.

Тренинг нейронных сетей с сохранением конфиденциальности

Преимущество глубокого обучения (DL) заключается в том, что программа сама выбирает набор функций без надзора, то есть извлечение функций происходит автоматически. Это достигается путем обучения крупномасштабных нейронных сетей, называемых глубокими нейронными сетями (DNN), на больших помеченных наборах данных.

Обучение DNN происходит в течение нескольких итераций (эпох). Каждый прямой прогон сочетается с циклом обратной связи, где ошибки классификации, выявленные в конце прогона по отношению к наземной истине (обучающий набор данных), передаются обратно на предыдущие (скрытые) слои для адаптации их весов параметров - «обратное распространение» . Пример архитектуры DNN показан на рисунке 2.

Сохраняющее конфиденциальность расширение вышеупомянутого обучения NN усредняет локально обученные модели - для получения глобальной модели NN [8]. Распределенная архитектура проиллюстрирована на рис.3.

Как объяснялось выше, усреднение может быть выполнено с помощью протокола совместного использования секретов, при этом глобальная модель размещается на координирующем сервере. После обучения мы можем применить гомоморфный компилятор (например, zama.ai) для вывода зашифрованной модели, которая может принимать зашифрованные входные данные, а также предоставить вывод модели (например, прогноз, классификацию) в виде зашифрованного выходного значения.

Сохраняющий конфиденциальность конвейер машинного обучения может быть разработан с использованием совместного использования секретов для обучения модели и гомоморфного шифрования для части вывода.

Основным недостатком вышеупомянутой архитектуры является необходимость совместного использования локально обученных моделей, которые могут по-прежнему содержать конфиденциальную информацию или сведения об утечках, относящиеся к локальному набору данных [9]. Это связано с тем, что (во время обратного распространения) градиенты данного слоя нейронной сети вычисляются с использованием значений характеристик слоя и ошибки следующего слоя. Например, в случае последовательных полносвязных слоев,

градиент ошибки E относительно W_l определяется как:

То есть градиенты W_l являются внутренними продуктами ошибки из следующего слоя и характеристик h_l; и, следовательно, корреляция между градиентами и особенностями. Это особенно. истина, если определенные веса в матрице весов чувствительны к определенным функциям или значениям в наборе данных участников (например, определенные слова в модели языкового прогнозирования [10]).

Чтобы преодолеть это, [11] предлагает протокол «безопасного агрегирования», при котором сервер агрегирования узнает только об обновлениях модели в совокупности. Протокол ∝MDL, предложенный в [12], дополнительно шифрует градиенты с помощью гомоморфного шифрования. Суммирование зашифрованных градиентов по всем участникам дает зашифрованный глобальный градиент, который можно расшифровать только после того, как пороговое количество участников поделится своими градиентами. [13] предлагает POSEIDON: протокол обучения NN на основе многостороннего гомоморфного шифрования, который (опирается на мини-пакетный градиентный спуск и, следовательно,) защищает промежуточные модели NN, поддерживая веса и градиенты, зашифрованные на протяжении фазы обучения. Протокол может применяться для построения различных типов слоев, таких как полносвязный, свертка и объединение. Что касается точности модели, авторы показывают, что производительность их модели сопоставима с централизованно обученной моделью.

Подводя итог, можно сказать, что это активная область исследований, и в ближайшем будущем мы увидим различные протоколы SMC, способные обучать разные архитектуры NN - с разными компромиссами.

использованная литература

  1. Ли Т., Саху А.К., Талвалкар А. и Смит В. (2020). Федеративное обучение: проблемы, методы и направления на будущее. Журнал IEEE Signal Processing , 37, 50–60.
  2. Д. Бисвас, С. Халлер и Ф. Кершбаум. Профилирование аутсорсинга с сохранением конфиденциальности. 12-я конференция IEEE по коммерции и корпоративным вычислениям, Шанхай, 2010 г., стр. 136–143, DOI: 10.1109 / CEC.2010.39.
  3. Д. Бисвас. Конфиденциальность разговора с чат-ботом. 3-й семинар NeurIPS по машинному обучению с сохранением конфиденциальности (PPML), 2020 (Средний), https://ppml-workshop.github.io/pdfs/Biswas.pdf
  4. М. Ригаки и С. Гарсия. Обзор атак на конфиденциальность в машинном обучении. 2020, https://arxiv.org/abs/2007.07646
  5. К. Бриггс, З. Фан и П. Андрас. Обзор федеративного обучения с сохранением конфиденциальности для Интернета вещей, 2020 г., https://arxiv.org/abs/2004.11794
  6. A. Ilyas, L. Engstrom, A. Athalye, J. Lin. Состязательные атаки черного ящика с ограниченным количеством запросов и информации. В материалах 35-й Международной конференции по машинному обучению, страницы 2137–2146. PMLR, 2018, http://proceedings.mlr.press/v80/ilyas18a.html.
  7. Ф. Кершбаум, Д. Бисвас и С. де Ху. Сравнение производительности протоколов безопасного сравнения. 20-й международный семинар по применению баз данных и экспертных систем, Линц, 2009 г., стр. 133–136, DOI: 10.1109 / DEXA.2009.37.
  8. Х. Б. МакМахан, Э. Мур, Д. Рэймидж и Б. А. у Аркас. Федеративное изучение глубоких сетей с использованием усреднения моделей. CoRR, абс / 1602.05629, 2016.
  9. Наср М., Шокри Р. и Хумансадр А. (2019). Комплексный анализ конфиденциальности при глубоком обучении: пассивные и активные атаки с использованием логического вывода на централизованное и федеративное обучение. Симпозиум IEEE по безопасности и конфиденциальности (SP) 2019 г., 739–753.
  10. Х. Б. МакМахан, Э. Мур, Д. Рэймидж, С. Хэмпсон и Б. А. Аркас. Коммуникационно-эффективное обучение глубоких сетей на основе децентрализованных данных, 2017 г., https://arxiv.org/abs/1602.05629.
  11. К. Бонавиц, В. Иванов, Б. Кройтер, А. Марседон, Х. Б. МакМахан, С. Патель, Д. Рэймидж, А. Сигал и К. Сет. Практическое безопасное агрегирование для машинного обучения с сохранением конфиденциальности. В материалах конференции ACM SIGSAC по компьютерной и коммуникационной безопасности 2017 г., CCS ’17, стр. 1175–1191, 2017 г., https://dl.acm.org/doi/10.1145/3133956.3133982.
  12. X. Чжан, С. Цзи, Х. Ван и Т. Ван. Частное, но практичное многостороннее глубокое обучение. На 37-й Международной конференции IEEE по распределенным вычислительным системам (ICDCS), 2017, стр. 1442–1452.
  13. Sav, S., Pyrgelis, A., Troncoso-Pastoriza, J., Froelicher, D., Bossuat, J., Sousa, JS, and Hubaux, J. ПОСЕЙДОН: Обучение федеративной нейронной сети с сохранением конфиденциальности, 2020, https://arxiv.org/abs/2009.00349