1. What does literature study?
本文分析并展望了联邦学习中的隐私保护技术的研究进展和趋势.简要介绍联邦学习的架构和类型,分析联邦学习过程中面临的隐私风险,总结重建、推断两种攻击策略,然后依据联邦学习中的隐私保护机制归纳隐私保护技术,并深入调研应用上述技术的隐私保护算法,从中心、本地、中心与本地结合这3个层面总结现有的保护策略。2. What’s the innovation?
3. What was the methodology?
联邦学习具有如下特点:a.各个参与方的训练集非独立同分布. 各个参与方仅掌握局部信息, 其分布与全局不一定相同; 各个参与方仅掌握整个数据集的部分属性及标签信息, 且各方之间属性和标签可能不完全重叠。
b.各个参与方的训练集大小可能不平衡. 某些参与方可能由于其规模、影响力等因素掌握更多数据。
c.参与方数量不定. 参与者数量可能很少, 例如只有几个企业交换数据集; 也可能极多, 如训练涉及数以万计的App使用者
d.通信受限. 与分布式相比, 联邦学习的架构更为松散, 参与的设备可能存在频繁掉线、通信缓慢等情况, 因此联邦学习的通信代价同样受到极大关注. 根据这些特点, 学者为联邦学习设计了不同的架构方式和学习类型。联邦学习架构:
原始数据不需要传输, 但是本地中间参数暴露给了中心服务器, 全局中间参数则会被每个客户端获取, 数据交换过程中, 巨大的通信量也会影响训练效率. 而当参与训练的客户端数量过多时, 中心服务器的聚合计算甚至可能成为全局训练效率的瓶颈.
当没有中心服务器时, 联邦学习采用另一种常见架构: 端对端的网络架构. 这种架构仅由持有数据的终端组成. 参与训练的终端Fi直接将训练参数发送给下一个(或多个)终端Fi+1, 下一个(或多个)终端Fi+1在收集到的一个(或多个)参数基础上继续训练, 直到模型收敛或者训练终止. 端对端网络架构不依赖中心服务器这样的第三方机构, 本地中间参数直接在参与方之间传送. 因此需要考虑参与方如何协商使用相同的模型、算法、初始化参数等基本信息, 协调各方参与训练的顺序.
横向联邦学习:
各个参与方持有的数据特征相同, 但掌握的样本不同. 例如, 几个不同城市的医院可能掌握着不同病人的情况, 但是由于具备相似的医疗手段, 医院获取属性的属性相同. 横向联邦学习中典型的方式之一是第1.1节所描述的联邦平均算法FedAvg, 包括梯度平均和模型平均两种类型, 多由客户-服务器架构实现. 梯度平均是指终端交换和聚合模型梯度, 而模型平均指聚合模型参数. 在端对端架构中, 各个参与方训练本地模型, 通过循环发送给下一个(或多个)训练方或者随机传输某个(或多个)终端实现模型参数的共享.
纵向联邦学习则针对相反的情形, 即各个参与方持有的数据特征不同, 但掌握的样本相同. 例如, 同一个城市中的医院和银行都接待过同一个市民, 保留着该市民的就诊记录或资金状况. 显然, 医院和银行获取的数据属性完全不同, 但是所持有的样本ID是重叠的. 纵向联邦学习首先需要参与方对齐相同ID的样本, 然后, 各个参与方在对齐的样本上分别训练本地模型并分享参数. 不同架构同样都适用于纵向联邦学习, 但由于数据的纵向分布, 参与方之间的依赖程度更高, 模型需要更加精细地设计. 纵向联邦学习已应用于线性回归、提升树、梯度下降等多种模型上. 以纵向联邦学习线性回归算法为例, 该算法在样本对齐后, 将损失函数的梯度拆分, 使得两个参与方能够使用各自的本地数据分别计算梯度的一部分, 而需要共同计算的部分则通过双方交换参数协同完成. 纵向分布的数据之间紧密的相关性, 为纵向学习的效率和容错性带来挑战.
目前, 纵向和迁移联邦学习的隐私保护算法研究还不成熟, 且保护方式与横向联邦学习场景类似.联邦学习中的隐私保护算法:
隐私保护的对象是明确且清晰的: 中心或本地. 中心是指中心服务器所掌握的中间参数和训练完成的模型; 本地则包括终端所掌握的数据和本地模型参数. 二者是联邦学习主要的隐私泄露位置. 因此, 本节以隐私保护的对象为线索, 将联邦学习隐私保护算法分为3种主要类型:
中心保护、本地保护、中心与本地同时保护策略. 中心保护策略以保护中心服务器所掌握的参数为目标, 考虑模型的使用者带来的威胁; 本地保护策略以保护本地所掌握的参数为目标, 考虑中心服务器带来的威胁; 中心和本地同时保护策略以保护所有参数为目标, 同时考虑模型使用者和中心服务器所带来的威胁.
3种保护策略的防御范围在图中用虚线表示:
4. What are the conclusions?
1.不同于传统的集中式机器学习, 联邦学习由于自身架构和训练方式的独特性, 面临着更多样的隐私攻击手段和更迫切隐私保护需求. 现有的联邦学习隐私保护算法在技术、平衡性、隐私保护成本和实际应用中还存在诸多不足之处. 明确这些问题和挑战, 才能展望联邦学习隐私保护未来发展的机遇和方向:
构建隐私量化体系, 设计有针对性的隐私定义和保护技术研究隐私性、鲁棒性、公平性合一的隐私保护机制实现低成本、轻量级的联邦学习隐私保护策略探索面向复杂场景的异质联邦学习隐私保护方案解决高维中间参数的隐私隐患
5. others
就当前来看,主要还是聚焦于联邦学习中Non-IID数据的处理策略(个性化、设计异构算法、基于多任务/元学习、用户选择与聚类)、通信效率优化(剪枝+量化,与知识蒸馏结合的文章也有许多,知识蒸馏/迁移学习+联邦学习是热点)与降低联邦网络训练能耗方向。Non-IID指的是:变量之间非独立,或者非同分布(由于联邦学习特殊的场景,每个设备不可能完全一样,因此其设备上的数据往往是非同分布的)。每个用户本地的数据分布会随着用户所在地以及用户偏好而变动。
如何降低Non-IID带来的模型精度下降/不稳定/泛化能力差等缺点,即怎么才能减少联邦学习中异构性带来的模型影响?我觉得主要可以从四个方面来看:
1)个性化联邦学习;
2)异构联邦学习;
3)多任务及元学习;
4)用户选择和聚类。
1.个性化联邦学习:由于用户数据的高度Non-IID以及用户对模型性能要求的不一致,单个的Global model很难满足所有参与者的需求,因此需要采用一种个性化的方法使得Global model针对每个用户进行优化。从本质上来说,个性化联邦学习的方案将Non-IID作为联邦学习的一种优点,因为这些Non-IID数据能够提供用户独特的使用习惯和属性,不同用户能够通过本地数据的差异得到更适合自己的训练模型。
该文章提出了一种用于个性化联邦学习的超网络,在这种方法中,训练一个中央超网络模型,用来给每个客户生成模型,具有生成多样化个性化模型的能力。
另一篇文章(Ditto Fair and Robust Federated Learning Through Personalization.)主要思想是对于本地模型,在原来传统方法(例如FedAvg算法)的基础上加了一个正则项,使其满足全局模型和本地模型间的平衡。
总结下来思路都是一个:全局模型作为基础,再利用每个独立的设备(客户端)上个性化的数据再来微调模型(或者理解为加上客户端自身数据的某些先验知识)。
2.异构联邦学习:在联邦学习中一直以来存在不同参与设备间通信、计算和存储性能的差异(系统异构);数据分布、数据量的差异(统计异构);对不同环境、不同任务间所需建模的差异(模型异构)。异构联邦学习的方案是在模型层面减少因Non-IID数据导致的权重差异对全局收敛的影响,在算法步骤中通过各种方式减少模型间的差异。
近期论文将联邦学习和知识蒸馏进行了结合,例如(链接[7])提出了一种解决异构FL的无数据知识蒸馏方法,其中服务器学习轻量级生成器以无数据的方式集成用户信息,然后将其广播给用户,使用所学知识作为归纳偏差改进模型。异构联邦学习主要是算法层面,可以通过改变模型结构,或者在客户端/服务器端训练过程中添加一些操作来改进模型。
3.多任务学习以及元学习:在面对Non-IID数据的时候非常有效,其性能甚至可能超过最好的全局共享模型。因为元学习其在数据量较少的情况下也可以发挥出较为稳定精确的性能。就多任务学习而言,如果我们将每个客户(设备)的本地问题(本地数据集上的学习问题)视为一项单独的任务(而不是单个数据集的一个划分),在多任务学习中,训练过程的结果是每个任务得到一个模型,这样通过对模型进行集成后的精度肯定高于原始模型。
4.用户选择和聚类:用户选择与聚类在联邦学习中也有所研究。通过用户聚类可以将相似数据的用户进行聚合,再通过用户选择抽取具有代表性的用户进行训练。一方面能够减少所有用户参与训练过程中造成的大量通信成本,另一方面也能剔除异常用户,减少被恶意攻击的风险。具体应用而言,例如该论文(Clustered Sampling: Low-Variance and Improved Representativity for Clients Selection in Federated Learning.)则是在用户选择中引入了聚类抽样(选择+抽样,可运用到联邦学习中的设备采样阶段),并证明了聚类抽样能提高用户的代表性,并减少不同客户权重聚合时的差异。
