兰州专业做网站的公司哪家好,惠州建网站公司,梦幻西游网页版最新版本,如何做短信验证码网站Tips#xff1a;在两方场景下#xff0c;设计的安全算法#xff0c;如果存在信息不对等性#xff0c;那么信息获得更多的一方可以有概率对另一方实施安全性攻击。 1. 拆分学习原理 本文介绍了一种适用于隐私计算场景的深度学习实现方案——拆分学习#xff0c;又称分割… Tips在两方场景下设计的安全算法如果存在信息不对等性那么信息获得更多的一方可以有概率对另一方实施安全性攻击。 1. 拆分学习原理 本文介绍了一种适用于隐私计算场景的深度学习实现方案——拆分学习又称分割学习Split Learning【1, 2, 3】。该方法能够让服务器在无需访问客户端原始数据的前提下完成深度学习模型的训练或推理。通过拆分学习合作的各方无需共享任何原始数据或模型详细信息即可协同完成机器学习模型的训练或推断。 在拆分学习的基础配置中每个客户端仅负责将深度网络的前几层训练至一个预定义的切割层。切割层的输出结果被传送到另一个实体如服务器或其他客户端由其完成剩余网络的训练而无需访问任何客户端的原始数据。这样便完成了一次前向传播而无需共享原始数据。随后在反向传播阶段梯度从网络的最后一层逐层传回至切割层切割层的梯度仅此部分梯度再返回给客户端。客户端利用这些梯度完成剩余的反向传播操作。通过这样的循环过程整个分布式分割学习网络得以完成训练全程无需各方共享原始数据。 客户端只需传输切割层之前的初始层输出显著降低了通信开销。同时由于客户端仅需计算部分网络权重其计算负担也大幅减少。在模型性能上拆分学习的精度与联邦学习及大批量同步SGD等分布式深度学习方法相当但在客户端数量较多的情况下其计算代价可以更低。 示例一种基于centralized server模式的架构【4】 2. 拆分学习 案例 以【5, 6】中例子说明执行方式。 以split DNN模型的拆分为例 Alice 拥有 data_alice model_base_alice Bob 拥有 data_bob model_base_bob model_fuse Alice 用本方的数据通过 model_base_alice 得到 hidden0 发送给BobBob 用本方的数据通过 model_base_bob 得到 hidden1hidden_0 和 hidden_1 输入到 AggLayer 进行聚合聚合后的 hidden_merge为输出Bob 方输入 hidden_merge 到 model_fuse结合label 得到梯度并进行回传通过 AggLayer 将梯度拆分为 g0 , g1 两部分将 g0 和 g1 分别发送给 Alice 和 BobAlice 和 Bob 的 basenet 分别根据 g0 和 g1 对本方的基础模型进行更新 以split GNN为例 参与者在服务器可信第三方的协助下协作训练一个全局模型。服务器存储模型的一部分但由于原始数据和其真实标签具有高度的隐私敏感性参与者不愿直接共享这些数据和标签。在实际操作中标签服务器与某一参与者相同这名参与者希望通过其他参与者的数据增强分类模型的能力。 在神经网络模型中每个原始样本被输入到输入层而真实标签则与模型预测结果在输出层进行比较以计算损失。因此为了保护每对样本与标签的隐私输入层和输出层都应由每个参与者分别存储而其余的网络层可以卸载到服务器上从而形成三方分离的SplitGNN架构。三方分离SplitGNN中每一层的前向计算可以分为三个步骤首先参与者使用私有数据单独计算本地嵌入然后服务器可信第三方收集非隐私的本地嵌入以计算全局嵌入最后服务器返回最终的计算结果。 3. 拆分学习的安全性问题及应对方案 从拆分学习的框架来看存在两种主要的模式第一种是一方的中间数据cut layer输出需要传给另一方(标签方)做后续计算。第二种是客户端的中间数据加密后发送给可信第三方进行后续计算。
3.1 风险案例1 【6】提出了一种针对拆分学习的全面攻击方法EXACT。假设客户端拥有仅限于自身的私有特征这些特征不希望与任何第三方共享。同时假设标注数据ground-truth labels也是私密的仅为客户端所知在该假设下研究标签泄露的情况。服务器试图基于切割层的梯度恢复客户端的私有数据和真实标注。考虑一个有 C 个分类类别的问题其特征空间分为服务器端特征空间 和客户端特征空间 标签空间为 。服务器端的功能定义为 输出服务器端的激活值 。客户端的功能定义为 将客户端特征和服务器输出映射到概率单纯形 。两者的模型由神经网络权重 参数化损失函数 L(w) 为常见的交叉熵损失。在拆分学习中切割层的激活输出 从服务器传输到客户端客户端将梯度 返回给服务器以完成反向传播。然而切割层权重的梯度 保留在客户端完成更新。这种设置允许服务器在不直接访问客户端原始数据的情况下进行训练。 假设攻击者能够在训练期间访问客户端模型参数。虽然某些情况下可以通过安全聚合方案减少攻击者的访问权限但假设默认攻击者掌握服务器端特征、服务器端模型及客户端模型的知识。这一假设符合分布式学习的实际情况。 EXACT 是一种基于梯度匹配的攻击方法通过对切割层梯度 的分析重建客户端的私有特征和真实标注。其基本思路如下 生成可能的特征组合列表客户端的私有特征被认为是离散的或可以离散化为有限类别。列出所有可能的特征组合其中 是私有特征L 是标注类别。梯度匹配对于每一种可能的特征配置 L[i]计算服务器激活值 和梯度 。然后与客户端提供的真实梯度 比较通过最小化两者间的距离例如 距离找出最接近的配置。重构特征与标注选择距离最小的特征组合作为重构结果。 EXACT 方法通过遍历所有可能的组合确保能够重构最相关的私有特征且不依赖传统优化步骤如二阶导数计算或正则化调优。虽然这种方法的搜索空间会随着私有特征数量或类别的增加而指数增长但可以采用启发式或智能搜索方法加速收敛。 在实验中【7】算法在平均 16.8 秒内成功重构了给定样本的特征。 3.2 风险案例2 拆分学习的主要漏洞在于服务器对客户端网络学习过程的控制权。 即使攻击者不了解 f 的架构及其权重也可以伪造适当的梯度并强制 f 收敛到攻击者选择的任意目标函数。通过这种方式攻击者可以在客户端生成的数据中引入某些属性从而针对底层的隐私数据实施推理或重建攻击。 【8】提出了一个通用框架来实现这一攻击过程。在该框架中恶意服务器将客户端选择的原始学习任务替换为一个新目标刻意塑造 f 的余域/特征空间。在攻击中服务器利用其对训练过程的控制劫持 f将其引导到一个特定的、精心设计的目标特征空间 。一旦 f 映射到 攻击者即可通过局部逆转已知的特征空间恢复隐私训练实例。 这种攻击包括两个阶段图来自【9】 设置阶段Setup phase服务器劫持 f 的学习过程推理阶段Inference phase服务器自由恢复从客户端发送的 smashed 数据。 将这一过程称为特征空间劫持攻击Feature-space Hijacking Attack简称 FSHA。 设置阶段 设置阶段在拆分学习的多个训练迭代中进行逻辑上分为两个并行步骤如图 2a 和图 2b 所示。在这一阶段服务器训练三个不同的网络、 和 D它们各自承担不同的角色 一个试验性网络动态定义客户端网络 f 的目标特征空间 。类似于 f 是数据空间与目标特征空间之间的映射且。 的逆函数近似。在训练中用来确保 的可逆性并在推理阶段从 smashed 数据恢复私有数据。D一种判别器间接引导 f 学习将私有数据映射到由 定义的特征空间。最终D 替代协议中的 s并在分布式训练过程中向客户端发送梯度。 设置阶段还需要一个未标记数据集 用于训练上述三个网络。这是攻击者对客户端设置的唯一要求。 在每次分裂学习训练迭代中即客户端向服务器发送 smashed 数据时恶意服务器通过两个并行步骤训练上述三个网络a 和b 服务器从 中采样一批数据用于联合训练 和 。目标是优化 和 的权重使其收敛为自编码功能即。通过以下损失函数实现 其中 d 是合适的距离函数例如均方误差MSE。 同时训练判别器 D。它的作用是区分 和即 smashed 数据之间的特征空间。D 的输入为 或 训练目标是对前者赋予高概率对后者赋予低概率。损失函数为 完成 D 的局部训练后恶意服务器使用 D 生成一个适合的梯度信号发送到远程客户端以训练 f。此梯度通过以下对抗性损失函数生成 f 被训练以最大化判别器 D 的错误分类概率。客户端的网络需要学习将数据映射到一个与 特征空间无法区分的空间。
攻击推理阶段 经过足够多的设置迭代后f 达到一个状态攻击者可以从 smashed 数据中恢复私有训练实例。此时由于对抗训练f 的余域与 的特征空间 重叠。攻击者通过应用逆网络 即可恢复 其中 是私有训练实例 的适当近似。 4. 风险应对措施案例 正如上述原理分析拆分学习是一种协作学习技术允许参与者例如客户端和服务器在不共享原始数据的情况下训练机器学习模型。在这种设置中客户端最初对原始数据应用其部分机器学习模型生成激活图然后将其发送给服务器以继续训练过程。从我们列举的风险案例来看重建激活图可能会导致客户端数据的隐私泄露。 【10】通过构建一个基于U形拆分学习的协议可以在同态加密数据上运行。更具体地说在该方法中客户端在将激活图发送给服务器之前对其进行同态加密从而保护用户隐私。相比于其他基于SL的工作减少了隐私泄露。在最优参数设置下使用同态加密数据训练的U形拆分学习仅比在明文数据上训练的准确性降低2.65%。原始训练数据的隐私得到了保护。 根据这个思路还可以进一步将MPC、TEE等多种隐私计算引入来提升拆分学习的安全性。比如【11】提出将mpc引入到拆分学习加强安全性建议融合MPC和拆分学习技术敏感数据相关计算采用MPC技术来执行而其余的大量的复杂非线性计算由服务器来执行并运用对抗学习、差分隐私、贝叶斯学习、随机置换等技术加固算法的安全性以取得安全性、效率、精确性的平衡。 5. 基于拆分学习的大模型训练机制 因为拆分学习的高效性能目前在大模型的训练中已经出现了一些方案。 比如【12】提出一种split-llm模型框架。 在拆分学习中大模型被分为三部分 底层Bottom Layers主干层Trunk Layers也称为适配器层顶层Top Layers 其中底层和顶层分别是模型的输入端和输出端而主干层则是模型的中间部分。 在每轮联邦学习开始时选择客户端0、1和2。从磁盘加载客户端0的模型参数包括底层和顶层以及其对应的服务器端的主干部分到GPU模型中。客户端0进行本地训练更新所有模型参数遵循与集中式学习一致的流程。客户端0完成训练后将模型参数保存到磁盘。从磁盘加载客户端1的模型参数到GPU模型中。...在联邦学习轮次结束时将所有客户端对应的主干参数在磁盘上进行聚合得到平均主干。然后将所有客户端的主干参数更新为平均主干。重复步骤1-7。 【13】提出大模型微调对资源有限的计算实体造成了计算负担。采用拆分学习在解决这一问题上具有潜力。后续可以继续关注一下。 6. 参考材料
【1】SplitNN-driven Vertical Partitioning
【2】SplitFed: When Federated Learning Meets Split Learning
【3】Split learning for health: Distributed deep learning without sharing raw patient data
【4】A Study of Split Learning Model
【5】拆分学习银行营销
【6】SplitGNN: Splitting GNN for Node Classification with Heterogeneous Attention
【7】Evaluating Privacy Leakage in Split Learning
【8】Unleashing the Tiger: Inference Attacks on Split Learning
【9】Combined Federated and Split Learning in Edge Computing for Ubiquitous Intelligencein Internet of Things: State-of-the-Art and Future Directions
【10】A More Secure Split: Enhancing the Security of Privacy-Preserving Split Learning
【11】隐私保护机器学习助力安全高效数字化转型
【12】SplitLLM:Split Learning Simulation Framework for LLMs
【13】SplitLoRA: A Split Parameter-Efficient Fine-Tuning Framework for Large Language Models
