Обнаружение аномалий с нулевым разглашением: постановка задачи
3 января 2024 г.:::информация Этот документ доступен на arxiv под лицензией CC BY-NC-SA 4.0 DEED.
Авторы:
(1) Shanshan Han & Qifan Zhang, UCI;
(2) Вэньсюань Ву, Техасский университет A&M;
(3) Baturalp Buyukates, Yuhang Yao & Weizhao Jin, USC;
(4) Салман Авестимер, USC & ФедМЛ.
:::
Таблица ссылок
Предлагаемое двухэтапное обнаружение аномалий
Проверяемое обнаружение аномалий с использованием ZKP
2 ПОСТАНОВКА ПРОБЛЕМЫ
В этом разделе мы представляем нашу модель угроз, а также некоторые предварительные сведения, которые мы используем в предлагаемом механизме обнаружения аномалий.
2.1 МОДЕЛЬ ПРОТИВНИКА
Мы рассматриваем систему FL, в которой некоторая часть клиентов может быть вредоносной, в то время как большая часть клиентов (т. е. более 50%) являются честными. Клиенты хотели бы совместно обучать модель, однако злонамеренные клиенты могут проводить атаки для достижения некоторых состязательных целей, в том числе: i) установка бэкдора для неправильной классификации определенного набора образцов, минимально влияя на общую производительность глобальной модели, т.е. бэкдор-атаки (Багдасарян и др., 2020b; Ван и др.,
2020); ii) изменение локальных моделей, чтобы предотвратить конвергенцию глобальной модели, т. е. византийские атаки (Chen et al., 2017; Fang et al., 2020); и iii) случайное представление надуманных моделей без фактического обучения, то есть «безбилетников» (Wang, 2022). Клиенты знают, что сервер FL может принимать некоторые защитные меры для их материалов, чтобы смягчить потенциальные атаки, и они хотят проверить целостность этих защитных мер, чтобы гарантировать правильную работу на сервере.
2.2 ПРЕДВАРИТЕЛЬНЫЕ УСЛОВИЯ
Крум. Крум (Blanchard et al., 2017) — это хорошо известный метод обнаружения аномалий на основе расстояния в распределенном обучении, который принимает локальные модели, которые меньше отклоняются от большинства на основе их попарных расстояний. . Учитывая, что среди L клиентов в системе FL есть f византийских клиентов (т. е. вредоносных клиентов), где сервер получает L локальных моделей как w1, w2, . . . В каждом раунде обучения Крам выбирает одну из этих моделей, т. е. ту, которая с наибольшей вероятностью окажется благоприятной, в качестве глобальной модели. Оптимизацией Krum является m-Krum (Blanchard et al., 2017), которая выбирает m локальных моделей вместо одной с m наименьшими баллами для вычисления средней модели при агрегировании локальных моделей. Алгоритмы для Крума и м-Крума показаны в Алгоритме 1.
Правило трех сигм. Правило трех сигм – это эмпирическое правило, утверждающее, что почти вся популяция находится в пределах трех стандартных отклонений от среднего значения в нормальном распределении. В частности, в нормальных распределениях N (μ, σ) процент значений в пределах одного, двух и трех стандартных отклонений от среднего составляет 68%, 95% и 99,7% соответственно. Это правило может широко применяться в реальных приложениях, поскольку нормальное распределение согласуется с реальным распределением данных (Lyon, 2014), а также в соответствии с центральной предельной теоремой (Rosenblatt, 1956) при агрегировании независимых случайных величин, даже если переменные генерируются различными распределениями, агрегирование стремится к нормальному распределению. Кроме того, когда данные не имеют нормального распределения, мы можем преобразовать распределение к нормальному (Aoki, 1950; Osborne, 2010; Sakia, 1992; Weisberg, 2001). Правило трех сигм использовалось при обнаружении аномалий (Han et al., 2019), поскольку данные за пределами двух или трех стандартных отклонений среднего значения занимают очень ограниченную долю; см. рисунок 2.
Доказательства с нулевым разглашением. Доказательства с нулевым разглашением (ZKP) (Goldwasser et al., 1989) — это система доказательств, которая позволяет доказывающему убедить проверяющего в том, что функция на секретных входных данных доказывающего (свидетель) является правильно рассчитано. ZKP обеспечивает три свойства: правильность, достоверность и нулевое разглашение. Корректность означает, что если доказывающий честен, то доказательство, которое он представляет, должно быть проверено (свойство целостности). Надежность гарантирует, что обманщик не убедит проверяющего с подавляющей вероятностью. Нулевое разглашение гарантирует, что вина проверяющего не будет изучена проверяющим (конфиденциальность). Благодаря этим свойствам ZKP широко используется в приложениях машинного обучения и блокчейна (Lee et al., 2020; Feng et al., 2021; Liu et al., 2021; Sasson et al., 2014).
Оригинал