今天的论文题目是《FedIPR: Ownership Verification for Federated Deep Neural Network Models》

论文地址:https://arxiv.org/abs/2109.13236

FedIPR: Ownership Verification for Federated Deep Neural Network Models

FedIPR: 联合深层神经网络模型的所有权验证

为了解决联合学习模型开发和部署过程中,面临的非法复制,再分配,滥用等风险,本文提出一种联合深度神经网络(FedDNN)所有权验证方案,允许嵌入和验证私人水印,以保证联合学习模型知识产权(IPR)。本文所做的主要工作在不透露其私人水印的情况下证明训练模型的所有权

考虑到水印和联合学习中的威胁模型,本文提出了名为FedIPR的统一框架,它由两个独立的过程组成:1)水印嵌入过程,允许多方嵌入它们基于特征和后门的秘密水印。2)验证过程,允许每一方独立验证模型的所有权。

技术挑战

挑战A:如何确保不同的客户嵌入到同一个FedDNN模型中的私人水印不会相互诋毁?

挑战B:如何确保嵌入式水印对保护隐私的学习策略具有鲁棒性?

安全水平联合学习

一个安全的水平联合学习系统由KK个客户组成,它们用自己的数据建立自己的模型然后把本地模型Wkk=1K{W_k}_{k=1}^K发送到一个聚合器以获得一个全局模型,如下:

Wk=1KnkKWkW\leftarrow\sum_{k=1}^K \frac{n_k}{K}W_k

其中nkn_k是每个客户的本地模型Wk的权重。

自由人

freeider自由人,表示不贡献数据或计算资源,只为免费获得全局模型。自由人创建模型:

Wfree=Free(Wt,Wt1)W^{free}=Free(W^t,W^{t-1})

带高斯噪声的自由人

Wfree=Wt+ξt,ξtN(0,σt)W^{free}=W^t+\xi_t \quad,\quad \xi_t\backsim N(0,\sigma_t)

DNN水印

DNN水印有两类

基于后门的水印:基于后门的水印T=(XT1,YT1),...(XTNT,YTNT)T={(X_T^1,Y_T^1),...(X_T^{N_T},Y_T^{N_T})}是在训练期间通过加入后门样本的损失函数嵌入到模型函数N中

基于特征的水印:在水印嵌入步骤中,在模型参数W的学习过程中,通过在原始学习任务中加入正则化项,嵌入N比特目标二进制水印B{0,1}NB \in \lbrace{0,1}\rbrace^N

FedIPR水印

一个给定的联邦深度神经网络(FedDNN)模型所有权验证方案(FedIPR)被定义为元组 V=(g,ξ,A,VW,VB)V=(g,\xi,A,V_W,V_B),由以下构成

1)对于每个客户端K{1,...k}K \in \lbrace1,...k \rbrace,密钥生成过程G()(Bk,θk,Tk)G()\rightarrow (B_k,\theta_k,T_k)生成水印BkB_k,水印提取参数θk={Sk,Ek}\theta_k=\lbrace S_k,E_k\rbrace,触发器Tk={(XTk1,YTk1),...(XTkNT,YTkNT)}T_k=\lbrace (X_{T_k}^1,Y_{T_k}^1),...(X_{T_k}^{N_T},Y_{T_k}^{N_T})\rbrace,注意:以上参数均应得到保密,其中SkS_k表示水印BkB_k的位置,EkE_k表示水印BkB_k的秘密嵌入矩阵。

2)嵌入过程:Lk:=LDk(Wt)+αkLTk(Wt)+βkLBk,θk(Wt)L_k:=L_{D_k}(W^t)+\alpha_kL_{T_k}(W^t)+\beta_kL_{B_k,\theta_k(W^t)}

3)聚合过程:使用 FedAvg algorithmWt+1Σk=1KnknWkt+1W^{t+1}\larr \Sigma_{k=1}^K \frac{n_k}{n}W^{t+1}_k,其中,Wkt+1ClentUpdate(Lk,Wt)W^{t+1}_k \larr ClentUpdate(L_k,W^t)是客户端k在第t轮的本地模型。nkn\frac{n_k}{n} 表示聚合权重

4)黑盒验证过程,检查由触发器样本XTkX_{T_k}产生的指定标签YTkY_{T_k}的检测误差是否小于 ϵB\epsilon_B

Vb(N,Tk)={TRUE,ifETk(I(YTk!=N(XTk)))ϵBFALSE,otherwiseV_b(N,T_k)= \begin{cases} TRUE,\quad if \quad E_{T_k}(I(Y_{T_k}!=N(X_{T_k}))) \leq \epsilon_B\\ FALSE,\quad otherwise \end{cases}

5)白盒验证过程:验证模型参数是否嵌入能证明所属权的“水印”。

Vw(W,(Bk,θk)){TRUEH(Bk,Bk )ϵWFALSEV_w(W,(B_k,\theta_k)) \begin {cases} TRUE \quad H(B_k,B_k^~)\leq \epsilon_W\\ FALSE \end {cases}

FedIPR 框架创新性地解决了模型所有权验证在联邦学习中的两大挑战:

(1)多水印冲突问题,特别是对于基于特征的水印,对于不同的客户是否有一个通用的解决方案来嵌入他们的私人指定水印。如下图所示,当不同客户端希望各自嵌入水印进全局联邦学习模型当中,多个水印可能彼此发生冲突。

image-20231221190727085

为了解决该挑战, FedIPR提出用秘密提取矩阵的方式,解决了多个水印在联邦学习模型之中互相冲突的挑战。

(2)性能问题,水印的鲁棒性表明模型水印是否能在联邦学习模型各种训练策略中适用和是否能抵御各种去除水印的攻击。FedIPR采用客户端嵌入的方式在差分隐私、鲁棒聚合、模型剪枝、微调等多种设定下进行了实验。

image-20231221190747072