Machine Translated by Google
Tổng quan về Quyền riêng tư của Học sâu Liên kết
Các cuộc tấn công và chiến lược phòng thủ
David Enthoven
Nhóm Hệ thống Dữ liệu Lớn được tăng tốc Đại
học Công nghệ Delft, NL {DAEnthoven, Z.Al-
Ars}@tudelft.nl
Tóm tắt — Với sự chú ý ngày càng tăng và luật pháp về quyền riêng tư của
dữ liệu, các thuật toán máy học cộng tác (ML) đang được phát triển để đảm bảo
bảo vệ dữ liệu riêng tư được sử dụng để xử lý. Học tập liên kết (FL) là
phương pháp phổ biến nhất trong số các phương pháp này, cung cấp khả năng bảo
vệ quyền riêng tư bằng cách tạo điều kiện đào tạo hợp tác mô hình chia sẻ mà
không cần phải trao đổi bất kỳ dữ liệu riêng tư nào với một máy chủ tập
trung. Thay vào đó, một phần dữ liệu trừu tượng dưới dạng bản cập nhật mô
hình học máy được gửi đi. Các nghiên cứu gần đây cho thấy rằng các bản cập
nhật mô hình như vậy vẫn có thể làm rò rỉ thông tin cá nhân rất tốt và do đó
cần phải đánh giá rủi ro có cấu trúc hơn. Trong bài báo này, chúng tôi phân
tích các lỗ hổng bảo mật hiện có của FL và sau đó thực hiện đánh giá tài liệu
về các phương pháp tấn công có thể nhắm vào các khả năng bảo vệ quyền riêng
tư của FL. Các phương pháp tấn công này sau đó được phân loại theo một phân
loại cơ bản. Ngoài ra, chúng tôi cung cấp một nghiên cứu tài liệu về các
chiến lược và thuật toán phòng thủ gần đây nhất cho FL nhằm khắc phục các
cuộc tấn công này. Các chiến lược phòng thủ này được phân loại theo nguyên
tắc phòng thủ cơ bản tương ứng của chúng. Bài báo kết luận rằng việc áp dụng
một chiến lược phòng thủ đơn lẻ không đủ để bảo vệ đầy đủ cho tất cả các
phương pháp tấn công hiện có.
Điều khoản lập chỉ mục — Học tập liên tục, bảo vệ quyền riêng tư, tấn công
phương pháp, chiến lược phòng thủ
I. GIỚI THIỆU
Các thuật toán học sâu đã phát triển đáng kể về cơ sở vật chất và mức
độ phổ biến trong thập kỷ qua. Những tiến bộ trong hiệu suất đặt com,
tăng khả năng cung cấp dữ liệu (và giảm chi phí lưu trữ dữ liệu) và những
tiến bộ trong các thuật toán hiệu quả hơn đã tạo ra một loạt các ứng dụng
mới bằng cách sử dụng các thuật toán học sâu.
Để các thuật toán này trở nên chính xác, nói chung cần một lượng lớn
dữ liệu cụ thể cho từng tác vụ. Thông thường, dữ liệu này được thu thập
và lưu trữ trên một máy chủ tập trung có thể truy cập được, máy chủ này
ngày càng trở nên rẻ để truy cập do băng thông ngày càng tăng sẵn có để
lưu trữ và truy xuất dữ liệu từ xa.
Tuy nhiên, việc lưu trữ dữ liệu tập trung này có hai vấn đề. Đầu tiên,
do sự gia tăng theo cấp số nhân của những người thu thập dữ liệu trong
lĩnh vực này, lượng dữ liệu được thu thập đang trở nên quá lớn, do đó làm
tăng yêu cầu băng thông cho giao tiếp cũng như các yêu cầu tính toán cần
thiết để xử lý. Thứ hai, các thiết bị có thể thu thập dữ liệu có tính chất
nhạy cảm tuân theo luật và quy định về quyền riêng tư [1]. Do đó, điều
quan trọng là phải quản lý dữ liệu nhạy cảm này theo cách bảo vệ quyền
riêng tư. Để chống lại những
Zaid Al-Ars
các vấn đề về cách thay thế của học tập phi tập trung đã được đề xuất,
đáng chú ý nhất là cách học liên kết.
FL [2] là một dạng cụ thể của phương pháp học phân tán [3] dựa trên
quan điểm rằng không cần gửi dữ liệu thực tế đến một máy chủ tập trung.
Thay vào đó, một phần trừu tượng dưới dạng mô hình học máy được gửi đến
máy chủ. Các mô hình này được đào tạo cục bộ trên các thiết bị phía máy
khách với bộ dữ liệu của máy khách. Các mô hình cập nhật này được gửi trở
lại máy chủ tập trung. Sau đó, máy chủ tổng hợp các mô hình này thành một
mô hình duy nhất và gửi mô hình này trở lại các máy khách.
Quá trình này được minh họa trong Hình 1. Vì quá trình này diễn ra lặp đi
lặp lại nhiều lần, nên tất cả các máy khách cùng huấn luyện mô hình dùng
chung. FL tuyên bố có những lợi thế riêng về quyền riêng tư so với các
phương pháp đào tạo mô hình hướng dữ liệu tập trung theo phân đoạn cũng
như giảm yêu cầu về băng thông truyền thông [2].
Những ưu điểm về quyền riêng tư này tập trung vào việc bảo vệ dữ liệu nhạy
cảm khỏi những kẻ thù bên ngoài, nhưng nó không đảm bảo an toàn trước
những kẻ thù bên trong chẳng hạn như các máy chủ độc hại.
FL đã được chứng minh là có hiệu quả tốt hơn các phương pháp đào tạo
truyền thống trong một số trường hợp nhất định. Các nhà nghiên cứu đã
chứng minh khả năng gợi ý cho dự đoán từ tiếp theo trên thiết bị di động
[4], [5] cũng như dự đoán biểu tượng cảm xúc [6] trong số những người
khác. Hơn nữa, FL đã được sử dụng trong các ứng dụng y tế [7] - [12], do
tính chất nhạy cảm của dữ liệu y tế, tạo ra nhu cầu biện minh về tính an
toàn của FL. Sự an toàn này gấp hai lần: Thứ nhất, FL phải bảo vệ khỏi
các khách hàng thù địch.
Thứ hai, do luật lưu trữ thông tin hiện đại (chẳng hạn như Quy định chung
về bảo vệ dữ liệu hoặc GDPR [1]), dữ liệu cá nhân của người dùng không
được thu thập mà không có sự đồng ý của người dùng.
Do đó FL phải được chứng minh là an toàn trước việc máy chủ lấy thông tin
người dùng riêng tư từ các mô hình người dùng.
Tuy nhiên, nghiên cứu gần đây đã chỉ ra nhiều lỗ hổng trong khả năng
bảo vệ quyền riêng tư của FL [13] - [24]. Các phương pháp tấn công này
phủ bóng đen lên khả năng áp dụng FL đối với thông tin nhạy cảm về quyền
riêng tư.
Trong bài báo này, chúng tôi trình bày tổng quan về các phương pháp
tấn công được biết là ảnh hưởng đến FL và cung cấp phân loại cơ bản để
phân loại các phương pháp này. Hơn nữa, chúng tôi cung cấp một đánh giá
tài liệu về các chiến lược phòng thủ chống lại các phương pháp tấn công
như vậy mà chúng tôi phân loại theo chiến lược phòng thủ cơ bản tương ứng của chúng.
Điều này sẽ giúp các nhà nghiên cứu cân nhắc một cách thích hợp các lỗ
hổng và rủi ro liên quan đến việc sử dụng FL cho thông tin nhạy cảm về
quyền riêng tư.
Bài viết này được tổ chức như sau. Phần II giới thiệu
Machine Translated by Google

mô hình tổng hợp. 2) Khả năng thao tác dữ liệu mà khách hàng đào tạo mô

hình, cũng như điều chỉnh quá trình đào tạo. 3) Khả năng thao tác cập nhật

gradient của họ. 4) Khả năng ảnh hưởng đến tác động của mô hình của chúng

người phục vụ trong quá trình tổng hợp.

người mẫu

thiết bị
Có một số cách để mô tả các cuộc tấn công FL dựa trên nguồn gốc, bản
AS phía máy chủ 1 2 3
chất của chúng, v.v. Hình 2 cho thấy sự phân loại của các đặc điểm khác
AS phía máy khách 1 2 3 4
nhau mà chúng tôi sử dụng trong bài báo này để mô tả các cuộc tấn công FL.

Sau đây, mỗi lớp sẽ thảo luận về các lớp phân loại được hiển thị, cùng với
Hình 1. Trên cùng: Quá trình học tập liên kết: A) Một mô hình được gửi từ máy
chủ đến thiết bị. B) Các thiết bị đào tạo mô hình thêm trên tập dữ liệu cục bộ các lỗ hổng chung mà FL có.
của chúng. C) Các thiết bị gửi mô hình của chúng trở lại máy chủ để kết hợp chúng
thành một mô hình số ít.
Dưới cùng: Các điểm lỗ hổng xác định bề mặt tấn công (AS) cho các phương pháp B. Các cuộc tấn công phía máy khách hoặc phía máy chủ
tấn công phía máy chủ và phía máy khách.

Trong bài báo này, tất cả giao tiếp giữa máy chủ và máy khách được coi

là an toàn. Chỉ bản thân các máy khách và máy chủ mới được coi là các điểm
khái niệm về các cuộc tấn công đối thủ trong bối cảnh FL. Phần III trình khả thi để thực hiện các phương pháp tấn công. Do đó, hệ thống chỉ được coi
bày các phương pháp tấn công FL đã được xuất bản trong lít ature. Sau đó, là dễ bị tấn công ở phía máy khách hoặc phía máy chủ. Một ngoại lệ đối với
Phần IV thảo luận về các chiến lược phòng thủ có thể chống lại các phương quy tắc này là cuộc tấn công man-in-the-middle, trong đó kẻ thù giả vờ là

pháp tấn công có thể xảy ra. Phần V phác thảo các công việc liên quan đã một máy chủ cho máy khách hoặc / và một máy khách cho máy chủ và do đó đang
được xuất bản về chủ đề này. Cuối cùng, Phần VI kết thúc với phần kết luận. ở giữa giao tiếp.

Một kẻ thù như vậy được cho là có cùng một mô hình mối đe dọa như đối với
II. BA MÔ HÌNH
các lỗ hổng phía máy chủ.
A. Bề mặt tấn công
C. Tấn công hộp đen hoặc hộp trắng
Nói chung, một đối thủ tấn công theo mô hình FL có một trong hai mục

tiêu đối phương. Đầu tiên và quan trọng nhất là trích xuất thông tin cá Các cuộc tấn công hộp trắng có nghĩa là đối thủ có đầy đủ kiến thức về

nhân từ các khách hàng nạn nhân. Mục tiêu thứ hai là nhằm mục đích hoàn hệ thống ngoại trừ dữ liệu cá nhân. Các cuộc tấn công hộp đen có nghĩa là

toàn buộc mô hình hoạt động khác với dự định. Điều này có thể ở dạng giới đối thủ bị giới hạn và chỉ có thể sử dụng hệ thống mà không có bất kỳ kiến

thiệu các cửa hậu, gây ra sự phân loại sai sót hoặc thậm chí khiến mô hình thức chi tiết nào về hoạt động bên trong của hệ thống.

không thể sử dụng được.

Trong suốt bài báo này, một đối thủ được coi là ở bên trong, có nghĩa Trong thuật toán tính trung bình liên kết, các máy khách được giả định

là nó có thể là một trong những khách hàng tham gia vào hệ thống FL hoặc có mô tả đầy đủ về mô hình và do đó dễ bị tấn công hộp trắng. Về phía máy

có thể là chính máy chủ tập trung. chủ, điều này cũng đúng nhưng các nghiên cứu gần đây đề xuất các mô hình

Việc xem xét này được chứng minh bởi giả định rằng tất cả giao tiếp giữa trong đó máy chủ không biết gì về mô hình ngoài quan niệm của nó [25].
máy chủ và các máy khách khác nhau có thể được thực hiện bằng bảo mật mật

mã mới nhất. Một trong những nguyên tắc quan trọng mà FL được phát triển Điều này có thể buộc các cuộc tấn công phía máy chủ theo kịch bản hộp đen.

là máy chủ không được phép truy cập vào bất kỳ mẫu đào tạo riêng tư nào của

máy khách. Do đó, mô hình máy chủ trung thực nhưng tò mò cũng được xem xét Trong một số trường hợp, có thể trích xuất thông tin về kiến trúc hệ
trong mô hình mối đe dọa. Trừ khi có quy định khác, dạng cơ bản của FL là thống và do đó buộc hộp đen hướng tới một mô hình mối đe dọa hộp trắng hơn.
dạng được sử dụng để đánh giá các mối đe dọa. Có thể khai thác phương pháp như dò tìm GPU [26] hoặc trích xuất mô hình

cho các dịch vụ trực tuyến [27].

Bề mặt tấn công là tổng hợp của các khả năng lưu manh có thể khai thác
D. Tấn công chủ động hoặc bị động
trong hệ thống. Bề mặt tấn công khả thi trong FL được chia nhỏ cho trường
hợp máy khách độc hại và độc hại Các cuộc tấn công chủ động ngụ ý rằng phương pháp tấn công dựa vào việc

người phục vụ. Các điểm dễ bị tấn công của FL được minh họa trong phần dưới thao túng hệ thống bằng cách điều chỉnh các tham số, giao tiếp hoặc các

cùng của Hình 1. thuộc tính hệ thống khác để đạt được mục tiêu đối đầu. Bởi vì những kiểu
Bề mặt tấn công của một máy chủ độc hại bao gồm các điểm có thể khai tấn công này ảnh hưởng đến hệ thống làm việc, chúng nói chung là có thể

thác sau đây. 1) Khả năng điều chỉnh mô hình được gửi cho tất cả các khách phát hiện được. Các cuộc tấn công tích cực cũng có thể là nguyên nhân dẫn

hàng và / hoặc khả năng xác định và điều chỉnh các khách hàng tham gia. đến việc hệ thống bị hỏng đến mức không còn hoạt động bình thường.

Hơn nữa, máy chủ có thể gửi các mô hình tùy chỉnh đến các máy khách được

nhắm mục tiêu. 2) Khả năng phân biệt các bản cập nhật mô hình với các máy Tấn công bị động ngụ ý rằng phương thức tấn công có thể được hình thành

khách trước khi tổng hợp. 3) Máy chủ am hiểu về mô hình tổng hợp. mà không cần phải điều chỉnh bất kỳ tham số nào trong hệ thống.

Vì các phương thức tấn công này không để lại dấu vết thực hiện nên chúng
Bề mặt tấn công dành cho các máy khách độc hại bao gồm các cách khai thường không thể bị phát hiện, điều này làm cho chúng trở thành một tập hợp

thác có thể sử dụng sau đây. 1) Khách hàng có quyền truy cập vào các phương thức tấn công nguy hiểm hơn.
Machine Translated by Google
Các loại tấn công FL
Máy khách Hộp đen
hoặc phía máy chủ hoặc trắng
Tái tạo Suy luận
mẫu thông tin
Hình 2. Phân loại để phân loại các loại phương pháp tấn công FL khác nhau
E. Mục tiêu của kẻ tấn công
Mỗi cuộc tấn công nên được phân loại theo mục tiêu của đối thủ.
Các cuộc tấn công được trình bày trong bài báo này thuộc một trong bốn mục
tiêu đối đầu sau đây.
1. Việc xây dựng lại mẫu nhằm mục đích tiết lộ một cách khách quan những
dữ liệu đào tạo nào đã được khách hàng sử dụng. Sự thành công của kẻ tấn công
trong việc đạt được mục tiêu này có thể được đánh giá bằng cách so sánh mức
độ tương tự của việc tái tạo với dữ liệu ban đầu. Khả năng khởi động một cuộc
tấn công xây dựng lại mẫu đáng tin cậy là khả năng xâm nhập nhiều nhất liên
quan đến thông tin cá nhân vì nó tiết lộ toàn bộ thông tin nhạy cảm. Nếu một
cuộc tấn công xây dựng lại mẫu có thể được thực hiện một cách tương đối dễ
dàng bởi máy chủ hoặc kẻ thù, thì toàn bộ hệ thống có thể không tuyên bố là
bảo vệ quyền riêng tư.
2. Các cuộc tấn công suy luận thông tin nhằm mục đích tìm hiểu thông tin
cá nhân một cách suy đoán hơn. Thông tin này có thể bao gồm: • Suy ra đại
diện lớp — Loại suy luận này cố gắng tạo lại các mẫu không nổi bật trong
tập dữ liệu ban đầu. Khi tạo thành công các mẫu như vậy, đối thủ có thể
tìm hiểu rất nhiều về tập dữ liệu cơ bản. • Suy ra thành viên (của
mẫu) —Khi được cung cấp một mẫu, suy luận thành viên sẽ cố gắng xác
định chính xác của tôi nếu mẫu này đã được sử dụng để đào tạo mạng.
• Suy ra thuộc tính dữ liệu — Cuộc tấn công này cố gắng suy ra các đặc
điểm meta của tập dữ liệu đã sử dụng (ví dụ dữ liệu bao gồm chủ yếu là
ô tô màu đỏ).
• Suy ra các mẫu / nhãn — Cuộc tấn công này nhằm mục đích tạo lại chính
xác (chứ không phải tạo lại) các mẫu đào tạo đã được sử dụng trong
phiên đào tạo và / hoặc các nhãn liên quan đã được sử dụng trong quá
trình đào tạo.
3. Tham nhũng mô hình nhằm mục đích thay đổi mô hình vì lợi ích của kẻ tấn
công. Các cuộc tấn công như vậy có thể giới thiệu các cửa hậu có thể khai
thác trong mô hình hoặc thậm chí làm cho toàn bộ mô hình trở nên vô dụng.
Các cuộc tấn công tham nhũng mô hình thường không được cho là vi phạm quyền
riêng tư của các khách hàng tham gia.
4. Các cuộc tấn công phân loại sai thời gian chạy nhằm đánh lừa mô hình
đưa ra các dự đoán sai trong thời gian chạy. FL là sus
Chủ động
Mục tiêu tấn công
hay thụ động
Mô hình Phân loại
tham nhũng sai thời gian chạy
có thể tránh được các kiểu tấn công này tương tự như các phương pháp ML không
phân tán. Nói chung, các cuộc tấn công phân loại sai thời gian chạy không
trực tiếp vi phạm quyền riêng tư của khách hàng nhưng có thể được sử dụng để
phá vỡ các biện pháp bảo mật dựa trên ML.
III. CÁC PHƯƠNG PHÁP ĐÁNH GIÁ
Bảng I liệt kê các phương pháp tấn công được đề xuất trong tài liệu cũng
như đặc điểm của chúng. Sau đây, chúng tôi thảo luận về từng phương pháp này,
được phân loại theo các mục tiêu tấn công liên quan của chúng. Bảng II minh
họa các lỗ hổng bị khai thác của các phương pháp tấn công được liệt kê sau
đây.
A. Các cuộc tấn công nhắm mục tiêu tái thiết
1) Khai thác mất chức năng / ReLu: Sannai [28] mô tả một khung toán học
(được cấp quyền truy cập vào mô hình hộp trắng) có thể xác định mối quan hệ
của đầu vào với tổn thất nhất định ở đầu ra. Nó dựa trên sự không trơn tru
của chức năng ReLu và đã được lập luận là chỉ hoạt động trên các mạng nơ-ron
sâu. Do việc sử dụng kích hoạt ReLu trên mỗi lớp, kẻ thù có thể tính toán
ngược lại các nút nào đã được kích hoạt.
Một số đa thức mô tả mối quan hệ đầu vào-đầu ra có thể được xây dựng và sau
đó, những đa thức này được sử dụng để tính toán những mẫu huấn luyện nào phù
hợp với bề mặt mất mát ở đầu ra.
Miền ứng dụng của phương pháp tấn công này được giới hạn trong các mô hình
tuyến tính với các chức năng kích hoạt ReLu được kết hợp.
Hơn nữa, phương pháp này rất yếu trong việc chống lại bất kỳ dạng nhiễu nào
do tính chất toán học nghiêm ngặt của nó. Thật không may, không có con quỷ
nào được đưa ra về hoạt động của phương pháp tấn công này.
2) Tấn công lớp dày đặc đầu tiên: Lê Triều et al. [16] đã chỉ ra về mặt
toán học rằng độ dốc của một mô hình trong một số trường hợp có thể tiết lộ
dữ liệu huấn luyện. Cuộc tấn công này dựa trên thực tế là các gradient của
tất cả các trọng số được tích lũy trong một tế bào thần kinh được chia tỷ lệ
tuyến tính với sự kích hoạt của lớp trước [16], [29]. Trong trường hợp khách
hàng đã đào tạo trên một mẫu đơn lẻ, phương pháp này sẽ tái tạo lại toàn bộ
mẫu đã được đào tạo này.
Phương pháp tấn công này không thể áp dụng cho các mạng nơ-ron tuần hoàn
và yêu cầu các thuật toán bổ sung để hữu ích cho các mạng phức hợp. Hơn nữa,
với tư cách là tập dữ liệu cục bộ
Machine Translated by Google

BẢNG I
CÁC PHƯƠNG PHÁP ĐÁNH GIÁ FL VÀ CÁC ĐẶC ĐIỂM CỦA CHÚNG

Tích cực/ Hộp trắng /

Phương pháp tấn công Kẻ tấn công Mục tiêu tấn công Bị hạn chế đối với
thụ động Hộp đen

Loss-function / ReLu Người phục vụ

Tái tạo mẫu hộp trắng thụ động Mạng tuyến tính + ReLu

Lớp dày đặc đầu tiên Người phục vụ

Tái tạo mẫu hộp trắng thụ động Tập dữ liệu cục bộ nhỏ, không lặp lại
DLG / iDLG Người phục vụ
Tái tạo mẫu hộp trắng thụ động Tập dữ liệu cục bộ nhỏ

CỦA TÔI Máy chủ Bị động cả hai Sự suy luận Lưới tuyến tính, không gian đầu vào nhỏ
mGAN-AI Người phục vụ Cả hai Hộp trắng Sự suy luận Yêu cầu tập dữ liệu phụ trợ, dữ liệu có thể tổng hợp
GAN Khách hàng Hộp trắng hoạt động Sự suy luận Tập khách hàng thưa thớt

Khách hàng ví dụ đối thủ Hộp trắng thụ động Phân loại sai Sử dụng thực tế hạn chế

Ngộ độc mô hình Khách hàng Hoạt động Cả hai Tham nhũng mô hình, cửa hậu

phát triển lớn hơn việc tái tạo lại sẽ được thực hiện với không khả thi về mặt tính toán đối với các không gian đầu vào lớn vì nó trong

phương pháp này sẽ trở nên không đáng tin cậy hơn. Tuy nhiên, điều này vẫn còn bản chất vũ phu-buộc tất cả các kết hợp đầu vào.

một phương pháp tấn công rất khả thi do dễ sử dụng và chi phí tính toán gần 2) mGAN-AI: Cuộc tấn công GAN đa nhiệm cho cation Nhận dạng Phụ trợ (mGAN-
như không đổi. AI) chủ yếu dựa vào việc đào tạo

3) DLG / iDLG: Một thuật toán gần đây có tên là Deep Leakage GAN để tạo lại các mẫu đào tạo gần đúng chính xác.

từ Gradients (DLG) mô tả một thuật toán tối ưu hóa Phương thức tấn công này yêu cầu cập nhật mô hình từ mỗi

tái tạo lặp đi lặp lại mẫu đào tạo bằng cách tối ưu hóa khách hàng và một tập dữ liệu phụ trợ. Từ những bản cập nhật này, một tập hợp

đầu vào để tạo ra các gradient chính xác cho khách hàng. Một chút hình ảnh đầu vào giả được tạo ra dẫn đến cùng một bản cập nhật.

biến thể đối với thuật toán này cũng chứng tỏ là khả thi đối với một chút Sau đó, một mạng lưới phân biệt đối xử cố gắng tìm ra: 1. nếu những

lô mẫu lớn hơn [14]. Trong một bài báo tiếp theo, một hình ảnh là giả hay thật, 2. những hình ảnh này thuộc về khách hàng nào,

nhóm nghiên cứu đề xuất cải thiện DLG (iDLG) như một
phiên bản hiệu quả và chính xác của DLG [15]. DLG và iDLG là
chỉ áp dụng khi tập dữ liệu cục bộ của khách hàng là đủ
nhỏ do yêu cầu chi phí tính toán cao để đáng tin cậy
kết quả trên các lô lớn hơn.
và 3. những hình ảnh thuộc thể loại nào.
Sau một số khóa đào tạo, mGAN-AI có thể cung cấp một tiết lộ
xây dựng lại các mẫu đào tạo của một khách hàng nạn nhân.
Ngoài cách tấn công thụ động này, các tác giả còn mô tả
một biến thể hoạt động hoạt động theo cách tương tự nhưng đảm bảo

mà những người không phải là khách hàng không tham gia. Điều này cho phép GAN
B. Các cuộc tấn công nhắm mục tiêu suy luận để tối ưu hóa khả năng tái sản xuất của nó hướng tới một mục tiêu

nạn nhân [19]. Kết quả chứng minh cho thấy kỹ thuật này
1) Các cuộc tấn công đảo ngược mô hình (MIA): Sự đảo ngược mô hình
rất khả thi để xâm phạm quyền riêng tư ở cấp độ khách hàng.
cuộc tấn công được giới thiệu bởi Fredrikson et al. [17] hoạt động trên

tiền đề rằng mô hình tuyến tính được đào tạo có thể truy cập vào Phương thức tấn công này chỉ được áp dụng trong trường hợp

đối thủ trong thời trang hộp đen. Kẻ thù chỉ có thể khách hàng có dữ liệu chủ yếu là đồng nhất và có sẵn một bộ dữ liệu phụ

cung cấp đầu vào của nó và thu thập đầu ra tương ứng. Ngoài ra, trợ. Vì phương pháp này dựa vào

đối thủ có thông tin không đầy đủ về đầu vào và mạng đối thủ, phương pháp này chỉ áp dụng trên dữ liệu

thông tin đầy đủ về đầu ra. Dữ liệu này được sử dụng để mà có thể được tổng hợp.

phát hiện mối tương quan giữa các biến đầu vào (vẫn chưa xác định) 3) GAN: Cuộc tấn công này chủ động nhắm vào một khách hàng nạn nhân để

và các giá trị đầu ra đã biết [17]. Nó làm điều này khá thô thiển giải phóng dữ liệu riêng tư bằng cách sử dụng mô hình được chia sẻ trong

bằng cách 'brute buộc' tất cả các biến thể của giá trị đầu vào không xác định thành đối thủ có lợi. Trong một bối cảnh đơn giản, kẻ thù sử dụng

dự đoán tính năng riêng tư có khả năng xảy ra nhất. Một ứng dụng thực tế mô hình được chia sẻ để phân biệt cập nhật mô hình của nạn nhân

đang biết kết quả được cá nhân hóa của nạn nhân của một mô hình, như từ đó kẻ thù biết được nhãn nào đã được sử dụng.

cũng như một số tính năng được biết đến công khai như tuổi, giới tính, Sau đó, kẻ thù sử dụng một mạng lưới đối thủ chung

v.v ... Những tính năng này cho phép đối thủ dự đoán một cách hợp lý (GAN) [30] để tạo hình ảnh cho một trong các nhãn được nạn nhân sử dụng

dữ liệu bị thiếu. nhiều. Kẻ thù sau đó có chủ đích

Một công trình tiếp theo trình bày một phiên bản mới có khả năng ứng dán nhãn sai những hình ảnh này là một trong những nhãn được sử dụng riêng

dụng hộp đen và hộp trắng [18]. Cuộc tấn công hộp trắng này bởi bản thân. Độ dốc của nạn nhân sẽ trở nên dốc hơn khi

hoạt động bằng cách cố gắng dự đoán đầu vào có khả năng xảy ra nhất cho một những hình ảnh được tạo ra và sau đó bị gắn nhãn sai sẽ nhận được nhiều hơn

nhãn mác. Điều này cho phép đối thủ xây dựng lại một tái hiện dưới dạng hình ảnh của nạn nhân [20].

hình ảnh đầu vào cho một nhãn cụ thể. Có một số chỉ trích đối với cuộc tấn công này. Mặc dù hữu ích trong

Cuộc tấn công đảo ngược mô hình chỉ có thể áp dụng trong tuyến tính một môi trường được kiểm soát, phương pháp tấn công này giả sử rằng

các mô hình. Hơn nữa, các tác giả lưu ý rằng nó thường khá nạn nhân và kẻ thù chia sẻ ít nhất một nhãn được chia sẻ và

dễ dàng đưa ra các mô hình mà phương pháp tấn công này một nhãn tương hỗ độc quyền không thực tế với tư cách là khách hàng

không hoạt động. Một điểm yếu lớn của cuộc tấn công này là nó hồ bơi trở nên lớn hơn. Ngoài ra, không thể phân biệt được
Machine Translated by Google

BẢNG II KHAI

THÁC CÁC KHOẢNG CÁCH MỖI LẦN. CÁC KHỐI LƯỢNG ĐƯỢC MINH HỌA TRONG HÌNH 1

khách
hàng
hình
Thao
mỗi
cho
tác
mô
1) khách
Quyền
hàng
hình
truy
2)thể
vào
cập
cụ
mô Quyền
tổng
hình
truy
hợp
vào
cập
mô
3) Quyền
tổng
hình
truy
hợp
vào
cập
mô
1) liệu
thủ
đối
tạo
Đào
dữ
về
2) gradient
nhật
Thao
cập
tác
3) hưởng
Tổng
ảnh
hợp
4)

công
cuộc
tấn
Các

một nạn nhân được nhắm mục tiêu trong một bối cảnh liên hợp thực tế do tính ngẫu Một cách tiếp cận khác được thực hiện bởi Fung et al. [24] trong đó, thay vì

nhiên của các khách hàng được chọn và sự suy giảm ảnh hưởng của đối thủ khi tính dựa vào việc tăng số lượng mẫu hoặc điểm số, đối thủ có khả năng tham gia và rời

trọng số trung bình [19]. khỏi các khách hàng liên kết khác nhau. Kiểu tấn công này được gọi là tấn công

dựa trên tổng hợp [24], [36]. Sau đó, kẻ thù có thể trả lại vô số mô hình bị

C. Các cuộc tấn công nhắm mục tiêu phân loại sai nhiễm độc trở lại máy chủ mỗi lần lặp lại.

Ở đây chúng ta chỉ thảo luận về các cuộc tấn công ví dụ đối nghịch như một
Liên quan mật thiết đến các cuộc tấn công sybil là các cuộc tấn công đầu độc
dạng tấn công phân loại sai. Các cuộc tấn công ví dụ đối phương nhằm tạo ra các
theo mô hình nỗ lực chung. Bằng chứng giai thoại cho thấy một lỗ hổng có thể xảy
mẫu sẽ được phân loại sai có chủ đích trong thời gian chạy [31], [32]. Việc học
ra đối với các mô hình đào tạo dựa trên đầu vào của người dùng. Ví dụ, một chat-
tập liên tục dễ bị ảnh hưởng bởi vì việc triển khai mô hình có nghĩa là các đối
bot trên twitter do Microsoft phát triển, học được từ giao tiếp của người dùng
thủ hầu như không có hạn chế khi tạo ra các bài kiểm tra đối thủ. Nếu mục đích
đã bị hỏng do nỗ lực phối hợp của người dùng để đăng các dòng tweet phân biệt
sử dụng của mô hình là xác thực thiết bị (ví dụ như nhận dạng khuôn mặt) thì các
chủng tộc và phân biệt giới tính [37].
cuộc tấn công ví dụ đối thủ có thể rất hiệu quả.
Ngoài các cuộc tấn công đầu độc mô hình, còn có các cuộc tấn công đầu độc dữ

liệu. Các kiểu tấn công này có thể được sử dụng thành công cho các mục tiêu đối

phương như lật nhãn [24], [38].

Tuy nhiên, lưu ý rằng đối với FL, tất cả các cuộc tấn công đầu độc dữ liệu đều
D. Các cuộc tấn công nhắm mục tiêu làm hỏng mô hình
kém hơn các cuộc tấn công đầu độc mô hình vì lý do đơn giản là dữ liệu không được

gửi đến máy chủ. Vì vậy, bất cứ điều gì có thể đạt được với dữ liệu độc hại đều
Ở đây chúng ta chỉ thảo luận về các cuộc tấn công đầu độc mô hình như một
khả thi bằng cách đầu độc mô hình [13], [33].
hình thức của các cuộc tấn công tham nhũng kiểu mẫu. Sử dụng phương pháp tấn công

này, mọi máy khách có thể ảnh hưởng trực tiếp đến trọng số của mô hình được chia

sẻ, điều đó có nghĩa là việc đầu độc mô hình được chia sẻ trở nên tầm thường.

Độc mô hình có thể được sử dụng để giới thiệu một cửa hậu có thể được tận dụng

bởi đối thủ [21] - [24]. Phần này mô tả các chiến lược khác nhau được đề xuất trong tài liệu để tăng

Một phương pháp tấn công cụ thể được thiết kế cho FL đã được Bagdasaryan et tính bảo mật của thuật toán FL cơ bản [2]. Các biện pháp phòng thủ được tìm thấy

al. [22]. Cuộc tấn công đầu độc mô hình bằng cách khai thác thực tế là khách hàng trong nhiều công trình của lít ature được nhóm theo chiến lược phòng thủ cơ bản

có thể thay đổi toàn bộ mô hình được chia sẻ bằng cách tuyên bố rằng nó có một của chúng. Bảng IV liệt kê các biện pháp phòng thủ được thảo luận trong phần này

lượng mẫu lớn đáng kể. Điều này cho phép khách hàng thay đổi mô hình được chia và hiển thị hiệu quả của chúng đối với các phương pháp tấn công nói trên. Các

sẻ để chèn một cửa sau. Một trường hợp sử dụng ví dụ là buộc một mô hình được chiến lược khác nhau sẽ tỏ ra có giá trị hơn để ngăn chặn các phương pháp tấn

chia sẻ thiên về một dự đoán / dự đoán đối nghịch, chẳng hạn như buộc một mô hình công khác nhau và nhìn chung cần có sự kết hợp của các biện pháp phòng thủ để có

tự động hoàn thành từ đề xuất tên thương hiệu hoặc buộc một mô hình phân loại được khả năng phòng thủ tối ưu. Trong bảng này, ký hiệu v thể hiện hiệu quả hạn

không chính xác hình ảnh của một nhân vật chính trị là không phù hợp . chế của biện pháp phòng thủ. Điều này có nghĩa là kẻ tấn công cần phải thực hiện

các bước bổ sung để đạt được mục tiêu của nó một cách đáng tin cậy hoặc kẻ tấn

công có thể không cho rằng kết quả của cuộc tấn công là đáng tin cậy (ví dụ: cấu

Công việc tương tự của Bhagoji et al. [33] chứng minh thêm về khả năng tồn trúc lại rất ồn ào). Hơn nữa, ký hiệu đại diện cho các trường hợp mà bối cảnh
tại của phương pháp này và cho thấy phương pháp tấn công này có thể được sử dụng thực hiện là cực kỳ quan trọng để đánh giá tính hiệu quả. Ví dụ: để đảm bảo bảo

theo cách thức tàng hình như thế nào. Hơn nữa, họ chứng minh cách phá vỡ cơ chế vệ quyền riêng tư với quyền riêng tư khác biệt,

kết hợp mạnh mẽ của byzantine [34], [35]. Các loại thuật toán tổng hợp này được

thiết kế đặc biệt để giảm ảnh hưởng của các máy khách đơn lẻ.
Machine Translated by Google

BẢNG III
MATRIX NÀY MINH HỌA HIỆU QUẢ CỦA CÁC BIỆN PHÁP KHẮC PHỤC ĐỐI VỚI BỀ MẶT KÉO DÀI NHƯ MINH HỌA TRONG HÌNH 1

Người phục vụ Khách hàng

Thao
tác
1) Truy
vào
cập
1)
khách
hàng
hình
mỗi
cho
mô khách
Quyền
hàng
hình
truy
thể
vào
cập
cụ
mô
2) Truy
vào
cập
3) tổng
hình
hợp
mô tổng
hình
hợp
mô trên
tạo
Đào
2) liệu
thủ
đối
dữ Thao
tác
3) gradient
nhật
cập hưởng
Ảnh
4) hợp
tập

Tập hợp con Gradient - - - - -

+ Trong

Trong Trong - Trong - - -

Nén Gradient
- Trong - Trong - Trong Trong
Rơi ra ngoài
Phòng
thủ

DP -
+ Trong Trong - - -

SMC - - - -
+ Trong Trong

- - - -
Mã hóa đồng nhất + + +
- - - -
Tổng hợp mạnh mẽ + + +

biên độ tiếng ồn được thêm vào có thể dẫn đến thuận lợi. Đầu tiên, mô hình được nén bởi bộ mã hóa

mô hình cộng tác được đào tạo không hội tụ. Trong khi ít hơn điều này sẽ làm tăng hiệu quả giao tiếp. Thứ hai,

biên độ khả năng tồn tại nhanh chóng của một phương pháp tấn công. Bảng III mã hóa và giải mã dẫn đến một số mất thông tin về

minh họa sự bảo vệ bổ sung cho những người dễ bị tổn thương cụ thể cập nhật gradient. Biện pháp này ngăn chặn máy chủ tốt như thế nào

điểm minh họa trong 1. từ việc tái tạo độc hại vẫn còn được nhìn thấy.

A. Tập hợp con Gradient C. Bỏ học

Ban đầu được đề xuất cho việc sử dụng phân phối được phân phối Một cách khác để cố gắng tăng cường khả năng phòng thủ là sử dụng

stochastic gradient descent (DSGD), chỉ một tập hợp con của tất cả một kỹ thuật được gọi là bỏ học [44]. Mặc dù thường được sử dụng để

gradient nên được giao tiếp để cải thiện giao tiếp ngăn ngừa việc mặc quá vừa [45], việc bỏ học không giới thiệu một số

hiệu quả [39]. Các tác giả đề xuất một phương pháp lựa chọn cho (hữu hạn) ngẫu nhiên đối với các bản cập nhật gradient. Đào tạo trên một tập hợp

cũng chỉ giao tiếp các gradient quan trọng nhất điểm dữ liệu sẽ không có bản cập nhật gradient xác định

khi thêm một biến thể lựa chọn trọng lượng ngẫu nhiên. Như một liên kết với nó, làm giảm bề mặt tấn công có thể khai thác.

biến thể ngẫu nhiên cũng được đề xuất ngắn gọn cho một liên kết Do tính chất tổng quát hóa của việc bỏ học, nó có thể có

cài đặt bằng [40] để tăng hiệu quả giao tiếp. Yoon một tác động bất lợi nếu mục tiêu là suy ra dữ liệu tổng quát thay vì

et al. [41] đề xuất một cách tiếp cận tập con gradient khác và hơn thông tin chính xác. Điều này đã được chứng minh bởi [42].

sau đó đã chứng minh rằng việc gửi thưa thớt và có chọn lọc

gradient có thể cải thiện hiệu suất cho tập dữ liệu không phải IID. D. Sự riêng tư khác biệt (DP)

Như một biện pháp phòng thủ, các phương pháp như vậy làm giảm
thông tin máy chủ có từ bất kỳ máy khách nào. Sự không hoàn chỉnh
thông tin như vậy có thể gây ra vấn đề cho một số meth tấn công để suy ra
thông tin từ bản cập nhật một cách đáng tin cậy. Tuy nhiên,
các nghiên cứu gần đây cho thấy rằng các phương pháp như vậy không ngăn
cản việc quảng cáo suy ra thông tin đáng tin cậy từ nạn nhân [29],
[42].
Sự riêng tư khác biệt [46] nhằm mục đích đảm bảo tính riêng tư một
cách chính xác bằng cách đưa nhiễu vào các biến trong hệ thống. DP là
thường được coi là một trong những tiêu chuẩn bảo mật mạnh nhất vì nó
cung cấp khả năng bảo mật nghiêm ngặt. DP đã thành công được triển khai
đầy đủ trên các ứng dụng học máy như
hồi quy tuyến tính [47], SVM's [48] và học sâu [49],
[50]. Một phương pháp để đạt được điều này là xáo trộn mô hình

trước bước tối ưu hóa trong thuật toán học [51].

B. Nén gradient
Những người khác áp dụng sự nhiễu loạn ở các giai đoạn khác nhau của SGD

Mặc dù chủ yếu được tạo ra để sử dụng giao tiếp thuật toán [50], [52]. Tuy nhiên, nó là một thách thức để thực hiện

hiệu quả, kỹ thuật nén mất mát cũng có thể được bổ sung để tạo điều kiện DP trong ngữ cảnh FL. DP hoạt động tốt nhất khi mỗi khách hàng có

cho một số hình thức bảo mật thông tin. truy cập vào một tập dữ liệu lớn đáng kể [52]. Kể từ khi có sẵn

Konecny và cộng sự. [40] chứng minh cách một phương pháp như vậy làm giảm dữ liệu có thể khác nhau về kích thước giữa các máy khách, độ nhạy DP phải

chi phí thông tin liên lạc. Máy chủ chỉ có nạn nhân cụ thể được xem xét trên cơ sở từng khách hàng. Bonawitz và cộng sự. [53]

thông tin chưa hoàn tất. đề xuất triển khai DP để tính trung bình liên kết cho

Các hình thức nén khác cũng có thể thực hiện được. Một máy nén mã hóa một mô hình ngôn ngữ LSTM bằng cách cắt các bản cập nhật gradient và

tự động được đề xuất để mã hóa truyền dữ liệu [43] trong thêm tiếng ồn ở phía máy chủ. Điều này đảm bảo rằng khách hàng

mà máy chủ đào tạo một mã tự động trên dummy-gradient không thể suy luận hoặc tấn công các khách hàng khác nhưng có thể không đảm bảo

cập nhật và sau đó phát hành phần mã hóa cho mỗi an toàn trước các cuộc tấn công từ phía máy chủ. Geyer và cộng sự. [54] mở rộng

của khách hàng trong khi vẫn giữ bí mật về phần bộ giải mã. Mọi về công việc này bằng cách triển khai FL với DP trên một hình ảnh

cập nhật gradient từ mỗi máy khách hiện được mã hóa trước khi chuyển sang mạng nhận dạng. Triastcyn và cộng sự. [55] đã chứng minh FL

máy chủ và phía máy chủ được giải mã. Điều này có một vài với Bayesian DP có thể cung cấp khả năng hội tụ nhanh hơn trong
Machine Translated by Google
thiết lập nơi dữ liệu được phân phối tương tự trên các máy khách
tham gia. Bayesian DP tận dụng sự phân bố này để biện minh cho biên
độ tiếng ồn thấp hơn trong khi vẫn giữ nguyên giới hạn riêng tư hoặc
thậm chí chặt chẽ hơn.
E. Tính toán đa bên an toàn (SMC)
Các lược đồ tính toán nhiều bên an toàn là các thuật toán cho phép
hai hoặc nhiều người tham gia cùng tính toán các chức năng trên dữ
liệu tập thể của họ mà không tiết lộ bất kỳ dữ liệu nào cho bên kia.
Sử dụng các phương pháp như vậy để tổng hợp an toàn các mô hình
gradient từ các máy khách riêng lẻ có thể được sử dụng để bảo vệ máy
khách khỏi máy chủ.
Các lược đồ SMC phổ biến được phát triển để sử dụng trong tính
toán an toàn của hai bên trong đó chỉ có hai thực thể giao tiếp /
tính toán. Các chương trình như vậy cũng đã được phát triển để sử
dụng học máy kết hợp [56] - [59]. Về phương diện học liên kết, điều
này thường yêu cầu hai máy chủ không ủy thác kết nối với một số hoặc
tất cả các máy khách tham gia.
Ngoài tính toán của hai bên, thông tin ba bên cũng đã được đề
xuất [60] - [63]. Những phương pháp này dựa trên ít nhất những người
tham gia bán trung thực hoặc đa số trung thực.
Mohassel và cộng sự. [60] đề xuất một giải pháp mới trong đó ba máy
chủ sử dụng SMC để tính toán tổng hợp mô hình ML. Họ cũng gợi ý về
một cấu trúc trong đó các máy khách được chia nhỏ và được đại diện
bởi các máy chủ khác nhau. Nếu máy chủ đáng tin cậy, cấu trúc như
vậy thậm chí có thể được mở rộng thành cấu trúc phân cấp trong đó
máy chủ đại diện cho một số máy chủ cơ bản.
Đối với học liên kết, một điểm yếu chính là máy chủ có thể biết
chính xác cập nhật gradient của các máy khách cụ thể và do đó có thể
suy ra thông tin về máy khách nạn nhân được nhắm mục tiêu.
Bonawitz và cộng sự. [64] đề xuất sự kết hợp của một số proto cols
để đảm bảo tính bảo mật trong một cài đặt liên kết thực tế thông qua
việc che khuất tập hợp khỏi máy chủ.
BẢNG IV
MỘT MẶT BẰNG MÔ TẢ HIỆU QUẢ CỦA VIỆC ĐÁNH BẠI
CÁC BIỆN PHÁP CHỐNG LẠI CÁC PHƯƠNG PHÁP ĐÁNH GIÁ. +: HIỆU QUẢ TIN CẬY, v: HIỆU QUẢ CÓ GIỚI HẠN, -: BIỆN PHÁP ĐÁNH GIÁ CÓ
THỂ
ĐƯỢC TRÌNH BÀY MÀ KHÔNG HIỆU QUẢ HOẶC ĐƯỢC LƯU HÀNH RIÊNG,
BỐI CẢNH HIỆU QUẢ PHỤ THUỘC.
Relu /
năng
chức
Mất tiên
đầu
đặc
dày
Lớp
Tập con Gradient + vv + vv - -
Gradient Comp v - - vvvv -
Bỏ học + - - + v + + v
Phòng
thủ
DP + + + + + -
SMC - vvv + - - -
Encomorphic enc + + + + + - - -
Tổng hợp mạnh mẽ - - - v - v - +
F. Mã hóa đồng hình
Mã hóa đồng hình dựa trên một phương pháp mã hóa toán học, trong
đó các phép toán được áp dụng trên một thông điệp được mã hóa dẫn
đến cùng một phép toán được áp dụng cho thông điệp gốc khi thông
điệp được giải mã. Về mặt lý thuyết, sử dụng mã hóa đồng hình trong
học liên kết đảm bảo không làm giảm hiệu suất về mặt hội tụ mô hình
[29].
Mã hóa đồng hình có ba dạng: Mã hóa đồng hình một phần (PHE) chỉ
cho phép một loại hoạt động sin gle. Mã hóa tương đối đồng nhất
(SWHE) cho phép thực hiện nhiều phép toán chỉ cho một số ứng dụng
nhất định. Mã hóa hoàn toàn Homomor phic (FHE) cho phép không giới
hạn số lượng hoạt động mà không bị hạn chế [65]. Mã hóa đồng nhất
đặc biệt thích hợp để đảm bảo quyền riêng tư trước một máy chủ không
đáng tin cậy. Một phương pháp như vậy đã được [16] đề xuất để đảm
bảo DSGD nhưng có thể dễ dàng được điều chỉnh để làm việc trên tính
trung bình liên hợp. Mã hóa đồng nhất đã được đề xuất như một phương
tiện để đảm bảo quyền riêng tư cho cả dữ liệu y tế [66] - [68].
Dowlin và cộng sự. [69] đề xuất một triển khai để học trên dữ liệu
được mã hóa với cái gọi là cryptonets. Phong et al. đã chứng minh
một sơ đồ đồng cấu cộng tính đơn giản nhưng hiệu quả cho việc học
liên kết [29].
Các chiến lược học tập hợp tác khác bao gồm việc sử dụng mã hóa
ho momorphic để mã hóa dữ liệu và cho phép máy chủ tập trung đào tạo
về dữ liệu được mã hóa này [70], [71]
Mã hóa đồng hình có một số nhược điểm chính đặc biệt thích hợp
cho việc triển khai quy mô lớn.
Đầu tiên, mã hóa đồng hình hoàn toàn khả thi trên thực tế như FHE
thường có chi phí tính toán lớn thường làm cho việc triển khai nó
không thực tế [59], [65], [68]. Thứ hai, đối với SWHE, kích thước dữ
liệu của các mô hình được mã hóa tăng tuyến tính với mỗi phép toán
đồng hình [65]. Do đó, các mô hình được mã hóa lớn hơn đáng kể so
với mô hình thuần túy, do đó làm tăng chi phí truyền thông. Thứ ba,
mã hóa homomor phic yêu cầu giao tiếp giữa các máy khách tham gia để
tạo điều kiện cho các giao thức chia sẻ khóa. Giao tiếp giữa các
khách hàng không được mong muốn trong FL và điều này cũng dẫn đến
một lỗ hổng có thể xảy ra nếu các khách hàng mới có thể tham gia
giữa các vòng đào tạo. Thứ tư, nếu không có các biện pháp bảo vệ bổ
sung, mã hóa đồng hình vẫn dễ bị tấn công bởi tất cả các cuộc tấn
công từ phía máy khách. Ngoài ra, các vấn đề có thể phát sinh đối
:
với việc đánh giá mô hình. Cuối cùng, cần lưu ý rằng máy chủ trong
một lược đồ đồng hình thích hợp không có quyền truy cập trực tiếp
Các cuộc tấn công
vào mô hình được huấn luyện chung, đó (nói chung) là lý do để máy
chủ thực hiện FL ngay từ đầu.
iDLG/
DLG TÔI
CỦA mGAN-
AI GAN thủ
đối
về
dụ
Ví hình
độc
Ngộ
mô
G. Tổng hợp mạnh mẽ Trong
cài đặt FL thông thường [2], một máy khách gửi mô hình mới được
đào tạo cũng như số lượng mẫu mà nó có trở lại máy chủ. Vì máy khách
có thể thay đổi các giá trị này nên cần có nhiều phương pháp tổng
hợp ro bust hơn để cấm các máy khách độc hại khai thác phương pháp
tính trung bình có trọng số (trong đó trọng số được xác định bởi
kích thước dữ liệu cục bộ của máy khách).
Hơn nữa, nhiều khách hàng có thể làm việc cùng nhau để che giấu
Machine Translated by Google
những nỗ lực độc hại của họ. Máy chủ tập trung không có cách nào biết
được máy khách nào là độc hại. Điều này thường được coi là các vấn đề
liên quan đến khách hàng Byzantine [72].
Blanchard và cộng sự. [34] đã giải quyết vấn đề này bằng cách đề
xuất một quy tắc tổng hợp gọi là Krum để giảm thiểu tổng khoảng cách
bình phương qua các lần cập nhật mô hình. Loại bỏ hiệu quả các ngoại lệ
được cho là do khách hàng byzantine cung cấp. Do đó, tập hợp được bảo
mật trước ít nhất là
n -
hơn 2 công nhân byzantine trong số n khách hàng. Mặc dù phương pháp này
2 được thực hiện. Một số trong số đó cung cấp bằng chứng toán học về việc
vẫn có thể khai thác được [73].
El Mhamdi và cộng sự. [73] đã đề xuất một quy tắc tổng hợp có khả
năng phục hồi byzantine sẽ được sử dụng kết hợp với các quy tắc khác có
tên Bulyan để sử dụng trong DSGD. Do đó, tập hợp n - 3 được bảo mật
chống lại tối đa công nhân byzantine
trong số n khách hàng.
4
Li và cộng sự. [74] đề xuất một chiến lược trọng số theo độ tin cậy
để sử dụng Dữ liệu Không đồng nhất. 'Độ tin cậy của nguồn' được xác
định bằng cách tính toán khoảng cách giữa bản cập nhật của khách hàng
và bản cập nhật tổng hợp.
Pilluta và cộng sự. [75] đề xuất một me dian hình học gần đúng để
sử dụng trong học tập liên hợp và chứng minh tính hiệu quả của nó bằng
cách đưa ra các cập nhật và dữ liệu làm hỏng mô hình. Các kết quả chỉ
chứng minh một sự cải thiện đáng kể về độ bền đối với các mô hình tuyến
tính.
Harry Hsu và cộng sự. [76] đề xuất triển khai động lượng phía máy
chủ đặc biệt cho việc sử dụng các bộ dữ liệu máy khách không phải IID.
Kết hợp với lựa chọn ứng dụng khách ngẫu nhiên có nguồn gốc từ việc học
liên kết [2], điều này có thể làm giảm đáng kể ảnh hưởng của ứng dụng
khách độc hại qua vô số vòng.
Chang và cộng sự. [25] đã phát minh ra một thuật toán chia sẻ kiến
thức thông minh để bảo vệ quyền riêng tư và học tập liên hợp không đồng
nhất có tên Cronus. Thuật toán của họ dựa trên một tập dữ liệu có sẵn
công khai mà tất cả các khách hàng đều biết. Thay vì gửi bản cập nhật
mô hình, các khách hàng tham gia gửi nhãn dự đoán của họ từ các mẫu có
sẵn công khai. Tập hợp tiếp theo của họ sử dụng thuật toán ước tính
trung bình mạnh mẽ [77] được phát triển đặc biệt hoặc tập hợp mạnh mẽ
theo chiều cao. Sau đó, các nhãn tổng hợp được gửi đến tất cả các máy
khách, sau đó sẽ sử dụng các nhãn này để cập nhật mô hình cục bộ của
chúng. Cronus đã được chứng minh là luôn mạnh mẽ chống lại các chiến
lược đầu độc mô hình cơ bản với cái giá phải trả là độ chính xác của mô
hình.
V. CÔNG VIỆC LIÊN QUAN
Có một số ít tài liệu thảo luận về các phương pháp tấn công và chiến
lược phòng thủ khác nhau cho FL mod els. Một bài khảo sát gần đây [13]
chỉ liệt kê các phương pháp tấn công và đánh giá giá trị của chúng đối
với phương pháp thực hiện của thuật toán liên hợp. Các công trình khác
về học tập liên hợp như [78], [79] liệt kê các chiến lược phòng thủ
khác nhau nhưng tập trung hơn vào việc thực hiện và xem xét ứng dụng
của FL. Xu và cộng sự. [80] cung cấp phân loại để liệt kê các chiến
lược phòng thủ và sau đó cho thấy một số lượng nhỏ các chiến lược phòng
thủ được phân loại. Kairouz và cộng sự. [81] cung cấp một mô tả chi
tiết về các vấn đề mở trong FL. Những vấn đề này
kèm theo mô tả chi tiết về những lo ngại về quyền riêng tư về các lỗ
hổng có thể khai thác và khả năng phòng thủ.
VI. PHẦN KẾT LUẬN
Bài báo này đã thảo luận về các nguyên tắc cơ bản của FL và chỉ ra
nhiều lỗ hổng FL có thể gây ra các cuộc tấn công nội gián. Máy khách
không thể cho rằng quyền riêng tư của dữ liệu được bảo toàn vì máy chủ
tập trung có thể khai thác các lỗ hổng này để lấy thông tin về dữ liệu
máy khách riêng. Đồng thời, một số chiến lược tăng cường bảo mật có thể
bảo vệ quyền riêng tư trong khi những người khác cho thấy hiệu quả của
chúng đối với một chiến lược tấn công cụ thể. Bài báo liệt kê thêm các
phương pháp tấn công được tìm thấy trong tài liệu. Các cuộc tấn công
này được phân loại dựa trên một số đặc điểm: nguồn tấn công, các cuộc
tấn công chủ động và bị động, khả năng tồn tại của hộp trắng hoặc hộp
đen, mục tiêu của kẻ tấn công và các hạn chế về lông. Hơn nữa, các biện
pháp phòng thủ được liệt kê theo nguyên tắc cơ bản của chúng. Một ma
trận dễ sử dụng được minh họa cung cấp một đánh giá sơ bộ về hiệu quả
của các phương pháp phòng thủ chống lại các chiến lược tấn công.
NGƯỜI GIỚI THIỆU
[1] Hội đồng Liên minh Châu Âu. Quy định chung về bảo vệ dữ liệu, năm 2018.
[2] H. Brendan McMahan, Eider Moore, Daniel Ramage và Blaise Aguera ¨ y Arcas.
Học liên tục các mạng sâu bằng cách sử dụng tính trung bình của mô hình.
CoRR, abs / 1602.05629, 2016.
[3] Philipp Moritz, Robert Nishihara, Ion Stoica và Michael I. Jordan.
SparkNet: Đào tạo các mạng sâu trong Spark. Bản in điện tử arXiv, trang
arXiv: 1511.06051, tháng 11 năm 2015.
[4] Andrew Hard, Kanishka Rao, Rajiv Mathews, Franc¸oise Beaufays, Sean
´
Augenstein, Hubert Eichner, Chloe Kiddon và Daniel Ramage. Học tập nhanh
chóng cho dự đoán bàn phím di động. CoRR, abs / 1811.03604, 2018.
[5] Timothy Yang, Galen Andrew, Hubert Eichner, Haicheng Sun, Wei Li, Nicholas
Kong, Daniel Ramage, và Franc¸oise Beaufays. Học tập được cung cấp đầy đủ
ứng dụng: Cải thiện đề xuất truy vấn bàn phím google. CoRR, abs / 1812.02903,
2018.
[6] Swaroop Ramaswamy, Rajiv Mathews, Kanishka Rao, và Franc¸oise Beaufays. Học
liên tục để dự đoán biểu tượng cảm xúc trên bàn phím di động.
CoRR, abs / 1906.04329, 2019.
[7] Timo M. Deist, A. Jochems, Johan van Soest, Georgi Nalbantov, Cary Oberije,
´
Sean Walsh, Michael Eble, Paul Bulens, Philippe Coucke, Wim Dries, Andre
Dekker và Philippe Lambin. Cơ sở hạ tầng và phương pháp học tập phân tán để
bảo vệ quyền riêng tư, chăm sóc sức khỏe học tập nhanh chóng đa trung tâm:
eurocat. Bệnh ung thư bức xạ lâm sàng và dịch chuyển, 4:24 - 31, 2017.
[8] Arthur Jochems, Timo M. Deist, Issam El Naqa, Marc Kessler, Chuck Mayo,
Jackson Reeves, Shruti Jolly, Martha Matuszak, Randall Ten Haken, Johan van
Soest, Cary Oberije, Corinne Faivre-Finn, Gareth Price, Dirk de Ruysscher,
Philippe Lambin và Andre Dekker. Xây dựng và xác thực mô hình dự đoán khả
năng sống sót cho bệnh nhân nsclc thông qua học tập phân tán trên 3 quốc
gia. Tạp chí Quốc tế về Vật lý Sinh học Ung thư Bức xạ, 99 (2): 344 - 352,
2017.
[9] Arthur Jochems, Timo M. Deist, Johan van Soest, Michael Eble, Paul Bulens,
Philippe Coucke, Wim Dries, Philippe Lambin và Andre Dekker. Học tập phân
tán: Phát triển mô hình dự đoán dựa trên dữ liệu từ nhiều bệnh viện mà không
có dữ liệu rời bệnh viện - một bằng chứng thực tế về khái niệm. Xạ trị và
Ung thư, 121 (3): 459 - 467, 2016.
[10] Li Huang, Andrew L. Shea, Huining Qian, Aditya Masurkar, Hao Deng, và Dianbo
Liu. Phân nhóm bệnh nhân cải thiện hiệu quả của máy học liên hợp để dự đoán
tỷ lệ tử vong và thời gian nằm viện bằng cách sử dụng hồ sơ y tế điện tử
được phân phối. Tạp chí Tin học Y sinh, 99: 103291, 2019.
[11] Theodora S. Brisimi, Ruidi Chen, Theofanie Mela, Alex Olshevsky, Ioannis Ch.
Paschalidis và Wei Shi. Học tập liên kết các mô hình dự đoán từ hồ sơ sức
khỏe điện tử được liên kết. Tạp chí quốc tế
của Tin học Y tế, 112: 59 - 67, 2018.
Machine Translated by Google
[12] Micah J. Sheller, G. Anthony Reina, Brandon Edwards, Jason Martin và Spyridon
Bakas. Mô hình học sâu đa tổ chức mà không cần chia sẻ dữ liệu bệnh nhân: Một
nghiên cứu khả thi về phân đoạn khối u não.
U não: u thần kinh đệm, đa xơ cứng, đột quỵ và chấn thương sọ não. BrainLes (Hội
thảo), 11383: 92–104, 2019.
[13] Lingjuan Lyu, Han Yu và Qiang Yang. Các mối đe dọa đối với việc học liên kết:
Một cuộc khảo sát, năm 2020.
[14] Ligeng Zhu, Zhijian Liu và Song Han. Rò rỉ sâu từ độ dốc,
Năm 2019.
[15] Bo Zhao, Konda Reddy Mopuri và Hakan Bilen. idlg: Cải thiện rò rỉ sâu từ gradient,
năm 2020.
[16] Lê Triệu Phong, Yoshinori Aono, Takuya Hayashi, Lihua Wang, và Shiho Moriai. Học
sâu bảo vệ quyền riêng tư: Đã xem xét lại và nâng cao.
Trong Lynn Batten, Dong Seong Kim, Xuyun Zhang và Gang Li, các nhà biên tập,
Ứng dụng và Kỹ thuật trong An toàn Thông tin, các trang 100–
110.
Springer Singapore, 2017.
[17] Matthew Fredrikson, Eric Lantz, Somesh Jha, Simon Lin, David Page và Thomas
Ristenpart. Quyền riêng tư trong di truyền dược lý: Một nghiên cứu điển hình
đầu cuối về liều lượng warfarin được cá nhân hóa. Trong Kỷ yếu Hội nghị USENIX
lần thứ 23 về Hội nghị Chuyên đề Bảo mật, SEC'14, trang 17–32, Berkeley, CA,
Hoa Kỳ, 2014. Hiệp hội USENIX.
[18] Matt Fredrikson, Somesh Jha và Thomas Ristenpart. Mô hình tấn công đảo ngược khai
thác thông tin tin cậy và các biện pháp đối phó cơ bản.
Trong Kỷ yếu của Hội nghị ACM SIGSAC 22Nd ACM về Bảo mật Máy tính và Truyền
thông, CCS '15, các trang 1322–
1333. ACM, 2015.
[19] Zhibo Wang, Mengkai Song, Zhifei Zhang, Yang Song, Qian Wang và Hairong Qi. Ngoài
việc suy luận đại diện lớp: Rò rỉ quyền riêng tư cấp người dùng từ việc học liên
kết. CoRR, abs / 1812.00535, 2018.
´
[20] Briland Hitaj, Giuseppe Ateniese và Fernando Perez-Cruz. Mô hình sâu trong GAN:
rò rỉ thông tin từ học sâu cộng tác. CoRR, abs / 1702.07464, năm 2017.
[21] Xinyun Chen, Chang Liu, Bo Li, Kimberly Lu, và Dawn Song. Tar đã nhận được các
cuộc tấn công cửa hậu vào các hệ thống học sâu bằng cách sử dụng độc tính dữ liệu.
CoRR, abs / 1712.05526, 2017.
[22] Eugene Bagdasaryan, Andreas Veit, Yiqing Hua, Deborah Estrin và Vitaly Shmatikov.
Làm thế nào để backdoor học liên kết. CoRR, abs / 1807.00459, năm 2018.
[23] Tianyu Gu, Brendan Dolan-Gavitt, và Siddharth Garg. Badnets: Xác định các lỗ hổng
trong chuỗi cung ứng mô hình học máy.
CoRR, abs / 1708.06733, năm 2017.
[24] Clement Fung, Chris JM Yoon và Ivan Beschastnikh. Giảm thiểu các sybils trong ngộ
độc học liên kết. CoRR, abs / 1808.04866, 2018.
[25] Hongyan Chang, Virat Shejwalkar, Reza Shokri và Amir Houmansadr.
Cronus: Học tập hợp tác mạnh mẽ và không đồng nhất với truyền tải kiến thức
trong hộp đen, 2019.
[26] Xing Hu, Ling Liang, Lei Deng, Shuangchen Li, Xinfeng Xie, Yu Ji, Yufei Ding,
Chang Liu, Timothy Sherwood và Yuan Xie. Các cuộc tấn công trích xuất mô hình
công việc mạng thần kinh trong các thiết bị biên bằng cách nghe các gợi ý về
kiến trúc. CoRR, abs / 1903.03916, 2019.
`
[27] Florian Tramer, Fan Zhang, Ari Juels, Michael K. Reiter, và Thomas Ristenpart.
Đánh cắp mô hình học máy thông qua ứng dụng dự đoán. CoRR, abs / 1609.02943,
2016.
[28] Akiyoshi Sannai. Xây dựng lại các mẫu đào tạo từ các tions mất mát. arXiv:
1805.07337, năm 2018.
[29] LT Phong, Y. Aono, T. Hayashi, L. Wang, và S. Moriai. Bảo vệ quyền riêng tư cho
việc học sâu thông qua mã hóa đồng cấu bổ sung. Giao dịch IEEE về Pháp y và Bảo
mật Thông tin, 13 (5): 1333–
1345, tháng 5 năm 2018.
[30] Ian J. Goodfellow, Jean Pouget-Abadie, Mehdi Mirza, Bing Xu, David Warde-Farley,
Sherjil Ozair, Aaron Courville và Yoshua Bengio.
Mạng lưới đối thủ tạo ra, 2014.
[31] Nicolas Papernot, Patrick D. McDaniel, Arunesh Sinha và Michael P.
Người đàn ông tốt. Hướng tới khoa học về bảo mật và quyền riêng tư trong học
máy. CoRR, abs / 1611.03814, 2016.
[32] Naveed Akhtar và Ajmal Mian. Mối đe dọa của các cuộc tấn công đối thủ vào học sâu
trong thị giác máy tính: Một cuộc khảo sát. CoRR, abs / 1801.00553, 2018.
[33] Arjun Nitin Bhagoji, Supriyo Chakraborty, Prateek Mittal, và Seraphin Calo. Phân
tích học tập liên kết qua lăng kính đối đầu, 2018.
[34] Peva Blanchard, El Mahdi El Mhamdi, Rachid Guerraoui và Julien Stainer. Học máy
với kẻ thù: Giảm độ dốc chịu được Byzantine. Trong I. Guyon, UV Luxburg, S.
Bengio, H. Wallach, R. Fergus, S. Vishwanathan, và R. Garnett, người biên tập,
Những tiến bộ trong hệ thống xử lý thông tin thần kinh 30, trang 119–
129. Curran
Associates, Inc., 2017.
[35] Dong Yin, Yudong Chen, Kannan Ramchandran, và Peter L. Bartlett.
Học phân tán mạnh mẽ của Byzantine: Hướng tới tỷ lệ thống kê tối ưu.
CoRR, abs / 1803.01498, 2018.
[36] John R. Douceur. Cuộc tấn công sybil. Trong các tài liệu sửa đổi từ Hội thảo quốc
tế đầu tiên về các hệ thống ngang hàng, IPTPS '01, trang 251–
260, Berlin,
Heidelberg, 2002. Springer-Verlag.
[37] Amy Tennery và Gina Cherelus. Bot ai twitter của Microsoft trở nên đen tối sau những dòng tweet phân
biệt chủng tộc, phân biệt giới tính, năm 2016.
[38] Battista Biggio, Blaine Nelson và Pavel Laskov. Các cuộc tấn công đầu độc
chống lại máy vectơ hỗ trợ, 2012.
[39] Reza Shokri và Vitaly Shmatikov. Học sâu bảo vệ quyền riêng tư.
Trong Kỷ yếu của Hội nghị ACM SIGSAC lần thứ 22 về Bảo mật Máy tính và Truyền
thông, CCS '15, trang 1310–1321, 2015.
´ ´
[40] Jakub Konecny, H. Brendan McMahan, Felix X. Yu, Peter Richt arik, Ananda Theertha
Suresh, và Dave Bacon. Học tập liên tục: Các phương pháp giúp cải thiện hiệu
quả giao tiếp. CoRR, abs / 1610.05492, 2016.
[41] Jaehong Yoon, Wonyong Jeong, Giwoong Lee, Eunho Yang và Sung Ju Hwang. Liên kết
học tập liên tục với truyền thông tham số thích ứng, 2020.
[42] Luca Melis, Congzheng Song, Emiliano De Cristofaro, và Vitaly Shmatikov. Khai
thác rò rỉ tính năng ngoài ý muốn trong học tập hợp tác. CoRR, abs / 1805.04049,
năm 2018.
[43] Hongyu Li và Tianqi Han. Một mạng nơ-ron được mã hóa end-to-end để truyền tải các
bản cập nhật gradient trong học tập liên kết. arXiv bản in trước arXiv:
1908.08340, 2019.
[44] Geoffrey E. Hinton, Nitish Srivastava, Alex Krizhevsky, Ilya Sutskever, và Ruslan
Salakhutdinov. Cải thiện mạng nơ-ron bằng cách ngăn chặn sự đồng thích ứng của
các bộ phát hiện tính năng. CoRR, abs / 1207.0580, 2012.
[45] Nitish Srivastava, Geoffrey Hinton, Alex Krizhevsky, Ilya Sutskever, và Ruslan
Salakhutdinov. Bỏ học: Một cách đơn giản để ngăn mạng thần kinh bị quá tải. Tạp
chí Nghiên cứu Máy học, 15: 1929–1958, 2014.
[46] Cynthia Dwork. Sự riêng tư khác biệt. Trong Michele Bugliesi, Bart Preneel,
Vladimiro Sassone, và Ingo Wegener, các nhà biên tập, Tự động hóa, Ngôn ngữ và
Lập trình, trang 1–
12. Springer Berlin Heidelberg, 2006.
[47] Jun Zhang, Zhenjie Zhang, Xiaokui Xiao, Yin Yang và Marianne Winslett. Cơ chế
chức năng: Phân tích hồi quy theo quyền riêng tư khác biệt. CoRR, abs /
1208.0219, 2012.
[48] Benjamin IP Rubinstein, Peter L. Bartlett, Ling Huang và Nina Taft.
Học trong một không gian chức năng lớn: Cơ chế bảo vệ quyền riêng tư cho việc
học SVM. CoRR, abs / 0911.5708, 2009.
[49] Reza Shokri và Vitaly Shmatikov. Học sâu bảo vệ quyền riêng tư.
Trong
-, trang 909–
910, ngày 09 năm 2015.
[50] Martin Abadi, Andy Chu, Ian Goodfellow, H. Brendan McMahan, Ilya Mironov, Kunal
Talwar và Li Zhang. Học sâu với sự riêng tư khác biệt. Kỷ yếu Hội nghị ACM
SIGSAC 2016 về Bảo mật Máy tính và Truyền thông - CCS'16, 2016.
[51] Kamalika Chaudhuri, Claire Monteleoni, và Anand D. Sarwate. Giảm thiểu rủi ro
theo kinh nghiệm cá nhân khác biệt, 2009.
[52] S. Song, K. Chaudhuri, và AD Sarwate. Giảm độ dốc ngẫu nhiên với các cập nhật
riêng tư khác nhau. Trong Hội nghị Toàn cầu IEEE về Xử lý Thông tin và Tín hiệu
2013, trang 245–
248, tháng 12 năm 2013.
[53] H. Brendan McMahan, Daniel Ramage, Kunal Talwar và Li Zhang.
Học các mô hình ngôn ngữ riêng biệt khác nhau mà không làm mất độ chính xác.
CoRR, abs / 1710.06963, 2017.
[54] Robin C. Geyer, Tassilo Klein, và Moin Nabi. Học tập liên kết riêng tư khác biệt:
Quan điểm cấp độ khách hàng. CoRR, abs / 1712.07557, năm 2017.
[55] Aleksei Triastcyn và Boi Faltings. Học tập liên tục với quyền riêng tư khác biệt
bayesian, 2019.
[56] Wenliang Du, Yunghsiang Han, và Shigang Chen. Phân tích thống kê đa biến duy trì
sự riêng tư: Hồi quy tuyến tính và phân loại. 04 năm 2004. -,
[57] Payman Mohassel và Yupeng Zhang. Secureml: Một hệ thống máy học bảo vệ quyền
riêng tư có thể mở rộng. Trong -, trang 19–38, 05 2017.
[58] Niki Kilbertus, Adria Gascon, Matt Kusner, Michael Veale, Krishna Gummadi và
Adrian Weller. Công lý mù quáng: Công bằng với các thuộc tính nhạy cảm được mã
hóa. Trong Jennifer Dy và Andreas Krause, người biên tập, Kỷ yếu của Hội nghị
Quốc tế lần thứ 35 về Học máy, tập 80 của Kỷ yếu Nghiên cứu Máy học, trang 2630–
2639, Stockholmsmassan, Stockholm Thụy Điển, 10–15 tháng 7 năm 2018. PMLR.
¨
[59] Yi Li, Yitao Duan, và Wei Xu. Privpy: Cho phép tính toán bảo vệ quyền riêng tư
chung và có thể mở rộng. CoRR, abs / 1801.10117, 2018.
Machine Translated by Google
[60] Payman Mohassel và Peter Rindal. Aby3: Khung giao thức hỗn hợp
cho máy học. Kỷ yếu ACM SIGSAC 2018
Hội nghị về Bảo mật Máy tính và Truyền thông, CCS '18,
trang 35–52, New York, NY, Hoa Kỳ, 2018. Hiệp hội Máy tính
Máy móc.
[61] Toshinori Araki, Jun Furukawa, Yehuda Lindell, Ariel Nof và Kazuma
Ohara. Tính toán ba bên bảo mật bán trung thực thông lượng cao
với đa số trung thực. Trong Kỷ yếu ACM SIGSAC 2016
Hội nghị về Bảo mật Máy tính và Truyền thông, CCS '16, trang
805–817, New York, NY, USA, 2016. Hiệp hội Máy tính
Máy móc.
[62] Payman Mohassel, Mike Rosulek và Ye Zhang. Tính toán ba bên nhanh chóng và
an toàn: Phương pháp tiếp cận mạch bị cắt xén. Cryptology ePrint
Lưu trữ, Báo cáo 2015/931, 2015.
[63] Jun Furukawa, Yehuda Lindell, Ariel Nof, và Or Weinstein. Tính toán ba bên
an toàn thông lượng cao cho các đối thủ độc hại và
đa số trung thực. Trong -, trang 225–255, ngày 04 năm 2017.
[64] Aaron Segal, Antonio Marcedone, Benjamin Kreuter, Daniel Ramage,
H. Brendan McMahan, Karn Seth, Keith Bonawitz, Sarvar Patel, và
Vladimir Ivanov. Tổng hợp an toàn thực tế để bảo vệ quyền riêng tư
máy học. Trong CCS, 2017.
[65] Abbas Acar, Hidayet Aksu, A. Selcuk Uluagac, và Mauro Conti. Một sự ngạc
nhiên về các lược đồ mã hóa đồng hình: Lý thuyết và cách triển khai,
2017.
[66] Joppe Bos, Kristin Lauter và Michael Naehrig. Dự đoán riêng tư
phân tích dữ liệu y tế được mã hóa. Tạp chí tin học y sinh,
50, 05 năm 2014.
[67] M. Barni, P. Failla, R. Lazzeretti, A. Sadeghi, và T. Schneider. Bảo vệ
quyền riêng tư phân loại ecg với các chương trình phân nhánh và công trình
mạng thần kinh. Giao dịch IEEE về Pháp y và Bảo mật Thông tin,
6 (2): 452–
468, tháng 6 năm 2011.
[68] Wen-jie Lu, Shohei Kawasaki, và Jun Sakuma. Sử dụng mã hóa biến hình hoàn
toàn đồng nhất để phân tích thống kê về phân loại, thứ tự và
dữ liệu số. Trong -, 01 năm 2017.
[69] Dowlin Nathan, Gilad-Bachrach Ran, Laine Kim, Lauter Kristin,
Naehrig Michael, và Werning John. Cryptonets: Áp dụng nơ-ron
mạng tới dữ liệu được mã hóa với thông lượng và độ chính xác cao, tháng 2
2016.
[70] Q. Zhang, LT Yang, và Z. Chen. Bảo mật tính toán sâu
mô hình trên đám mây để học tập tính năng dữ liệu lớn. Giao dịch IEEE trên
Máy tính, 65 (5): 1351–
1362, tháng 5 năm 2016.
[71] J. Yuan và S. Yu. Bảo vệ quyền riêng tư mạng nơ-ron lan truyền ngược
việc học trở nên thiết thực với điện toán đám mây. Giao dịch IEEE trên
Hệ thống song song và phân tán, 25 (1): 212–221, tháng 1 năm 2014.
[72] Leslie Lamport, Robert Shostak và Marshall Pease. The byzantine
vấn đề tướng số. ACM Trans. Chương trình. Lang. Syst., 4 (3): 382–401,
Tháng 7 năm 1982.
´
[73] El Mahdi El Mhamdi, Rachid Guerraoui và Sebastien Rouault. Lỗ hổng ẩn của
việc học phân tán trong byzantium, 2018.
[74] Qi Li, Yaliang Li, Jing Gao, Bo Zhao, Wei Fan và Jiawei Han.
Giải quyết xung đột trong dữ liệu không đồng nhất bằng nguồn và phát hiện sự thật
ước tính độ tin cậy. Trong Kỷ yếu ACM SIGMOD 2014
Hội nghị quốc tế về quản lý dữ liệu, SIGMOD '14, trang
1187–
1198, New York, NY, USA, 2014. Hiệp hội Máy tính
Máy móc.
[75] Krishna Pillutla, Sham Kakade và Zaid Harchaoui. Tổng hợp mạnh mẽ
cho học tập liên kết, 12 2019.
[76] Tzu-Ming Harry Hsu, Hang Qi, và Matthew Brown. Đo lường các ảnh hưởng của
việc phân phối dữ liệu không giống nhau để phân loại trực quan được liên kết,
Năm 2019.
[77] Ilias Diakonikolas, Gautam Kamath, Daniel M. Kane, Jerry Li, Ankur
Moitra và Alistair Stewart. Mạnh mẽ (ở kích thước cao) có thể
thực dụng. CoRR, abs / 1703.00893, năm 2017.
[78] Qiang Yang, Yang Liu, Tianjian Chen, và Yongxin Tong.
học máy: Khái niệm và các ứng dụng. CoRR, abs / 1902.04885,
Năm 2019.
[79] Tian Li, Anit Kumar Sahu, Ameet Talwalkar, và Virginia Smith.
Học tập liên kết: Những thách thức, phương pháp và định hướng tương lai, 2019.
[80] Runhua Xu, Nathalie Baracaldo, Yi Zhou, Ali Anwar và Heiko
Ludwig. Hybridalpha. Kỷ yếu Hội thảo ACM lần thứ 12 về
Trí tuệ nhân tạo và Bảo mật - AISec'19, 2019.
´
[81] Peter Kairouz, H. Brendan McMahan, Brendan Avent, Aurelien Bellet, Mehdi
Bennis, Arjun Nitin Bhagoji, Keith Bonawitz, Zachary Charles,
Graham Cormode, Rachel Cummings, Rafael GL D'Oliveira, Salim El ` ´
Rouayheb, David Evans, Josh Gardner, Zachary Garrett, Adria Gasc on, Badih
Ghazi, Phillip B. Gibbons, Marco Gruteser, Zaid Harchaoui,
Chaoyang He, Lie He, Zhouyuan Huo, Ben Hutchinson, Justin Hsu,
´
Martin Jaggi, Tara Javidi, Gauri Joshi, Mikhail Khodak, Jakub Konecnˇ,
`
Aleksandra Korolova, Farinaz Koushanfar, Sanmi Koyejo, Tancrede Lepoint,
Yang
¨ Liu, Prateek Mittal, Mehryar Mohri, Richard Nock, Ayfer
¨
Ozg ur, Rasmus Pagh, Mariana Raykova, Hang Qi, Daniel Ramage, Ramesh
Raskar, Dawn Song, Weikang Song, Sebastian U. Stich, Ziteng
`
Sun, Ananda Theertha Suresh, Florian Tramer, Praneeth Vepakomma, Jianyu
Wang, Li Xiong, Zheng Xu, Qiang Yang, Felix X. Yu, Han Yu,
và Sen Zhao. Những tiến bộ và vấn đề mở trong học tập liên kết, 2019.