通过二次无约束二进制优化增强联邦学习隐私性
联邦学习(FL)是一种广泛应用的机器学习模型训练方法,既能实现规模化训练,又可保护数据隐私(即无需集中原始数据)。已有研究表明,当客户端的更新被多次纳入聚合模型时,敏感数据暴露的风险会呈累积式增长。攻击者可发起成员推理攻击(MIA,推断某样本或客户端是否参与训练)、属性推理攻击(PIA,推测客户端数据的属性)以及模型反演攻击(MI,重构输入数据),从而推断出客户端的特定属性,某些情况下甚至能重构输入数据。 本文提出一种受量子计算启发的二次无约束二进制优化(QUBO)方法,通过筛选每轮训练中最相关的少量客户端更新数据,显著降低单个客户端的数据暴露风险。该研究聚焦于两种威胁途径:(i) 客户端在训练过程中的信息泄露;(ii) 攻击者查询或获取全局模型的能力。研究假设存在可信的中央服务器,且不考虑服务器遭入侵的情形,同时要求服务器能访问符合全局数据分布的验证/测试集。 在包含300个客户端、20轮训练的MNIST数据集实验中,该方法实现了单轮95.2%和累计49%的隐私暴露降低,其中147个客户端的更新数据全程未被使用,同时保持了与全聚合相当的模型精度甚至更优表现。在较小规模数据集和更复杂模型场景下(如基于30个客户端的CINIC-10数据集实验),该方法同样有效,实现单轮82%和累计33%的隐私提升。
