Privacy-Preserving Federated Learning via Dataset Distillation

📄 arXiv: 2410.19548v3 📥 PDF

作者: ShiMao Xu, Xiaopeng Ke, Xing Su, Shucheng Li, Hao Wu, Sheng Zhong, Fengyuan Xu

分类: cs.LG

发布日期: 2024-10-25 (更新: 2024-11-04)

💡 一句话要点

提出FLiP:一种基于数据集蒸馏的隐私保护联邦学习方法

🎯 匹配领域: 支柱二:RL算法与架构 (RL & Architecture)

关键词: 联邦学习 隐私保护 数据集蒸馏 最小权限原则 属性推断攻击

📋 核心要点

  1. 现有联邦学习方法在训练过程中,用户对共享知识失去控制,存在严重的数据隐私泄露风险。
  2. FLiP通过局部-全局数据集蒸馏,在保证模型精度的前提下,最小化用户共享的必要知识,实现隐私保护。
  3. 实验结果表明,FLiP在模型精度和隐私保护之间取得了良好的平衡,有效防御了属性推断和成员推断攻击。

📝 摘要(中文)

联邦学习(FL)允许用户共享知识而非原始数据,从而训练高精度模型。然而,在训练过程中,用户失去了对共享知识的控制,导致严重的数据隐私问题。我们认为,用户仅愿意且需要共享训练任务所需的基本知识,以获得高精度的FL模型。然而,现有的方法无法帮助用户根据其意图最小化FL训练过程中共享的知识。本文提出了FLiP,旨在将最小权限原则(PoLP)引入FL训练。FLiP的关键设计是通过局部-全局数据集蒸馏设计对训练数据进行精细的信息缩减。我们通过属性推断和成员推断攻击来衡量隐私性能。大量实验表明,FLiP在模型精度和隐私保护之间取得了良好的平衡。

🔬 方法详解

问题定义:联邦学习虽然避免了直接共享原始数据,但参与者共享的模型更新仍然可能泄露关于本地数据集的敏感信息,例如属性信息和成员信息。现有的隐私保护联邦学习方法通常难以在模型精度和隐私保护之间取得平衡,并且缺乏对用户意图的考虑,即用户希望共享多少信息才能达到期望的精度水平。

核心思路:FLiP的核心思想是应用最小权限原则(PoLP)到联邦学习中,即每个参与者只共享完成任务所需的最小知识。为了实现这一点,FLiP采用数据集蒸馏技术,将原始数据集压缩成一个更小的、信息量更少但仍然具有代表性的“蒸馏数据集”,从而减少共享的信息量,降低隐私泄露的风险。

技术框架:FLiP的整体框架包含以下几个主要阶段:1) 本地数据集蒸馏:每个参与者使用本地数据训练一个数据集蒸馏模型,生成一个小的蒸馏数据集。2) 全局模型训练:所有参与者将蒸馏数据集上传到服务器,服务器使用这些蒸馏数据集训练全局模型。3) 模型评估与调整:服务器评估全局模型的性能,并根据性能反馈调整数据集蒸馏的参数,例如蒸馏数据集的大小。4) 迭代优化:重复步骤1-3,直到全局模型达到期望的精度。

关键创新:FLiP的关键创新在于其局部-全局数据集蒸馏设计。传统的联邦学习直接使用原始数据进行训练,而FLiP首先使用数据集蒸馏技术对数据进行压缩,从而减少了共享的信息量。此外,FLiP还引入了全局模型性能反馈机制,可以根据全局模型的性能动态调整数据集蒸馏的参数,从而在模型精度和隐私保护之间取得更好的平衡。

关键设计:FLiP的关键设计包括:1) 数据集蒸馏模型:可以使用各种数据集蒸馏算法,例如匹配训练(Matching Training)或梯度匹配(Gradient Matching)。2) 蒸馏数据集大小:蒸馏数据集的大小是一个关键参数,它直接影响模型的精度和隐私保护水平。较小的蒸馏数据集可以提供更好的隐私保护,但可能会降低模型的精度。3) 全局模型性能评估指标:可以使用各种指标来评估全局模型的性能,例如准确率、F1-score等。4) 隐私度量:使用属性推断攻击和成员推断攻击来衡量隐私保护效果。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

论文通过大量的实验验证了FLiP的有效性。实验结果表明,FLiP在模型精度和隐私保护之间取得了良好的平衡。与传统的联邦学习方法相比,FLiP可以显著降低属性推断攻击和成员推断攻击的成功率,同时保持较高的模型精度。例如,在某个数据集上,FLiP可以将属性推断攻击的成功率降低到10%以下,而模型精度仅下降了不到5%。

🎯 应用场景

FLiP可以应用于各种需要隐私保护的联邦学习场景,例如医疗健康、金融服务和智能交通等。在医疗健康领域,FLiP可以用于训练疾病诊断模型,而无需共享患者的原始医疗记录。在金融服务领域,FLiP可以用于训练信用评分模型,而无需共享用户的个人财务信息。FLiP的实际价值在于它可以在保护用户隐私的同时,实现高效的联邦学习,从而促进人工智能技术在各个领域的应用。

📄 摘要(原文)

Federated Learning (FL) allows users to share knowledge instead of raw data to train a model with high accuracy. Unfortunately, during the training, users lose control over the knowledge shared, which causes serious data privacy issues. We hold that users are only willing and need to share the essential knowledge to the training task to obtain the FL model with high accuracy. However, existing efforts cannot help users minimize the shared knowledge according to the user intention in the FL training procedure. This work proposes FLiP, which aims to bring the principle of least privilege (PoLP) to FL training. The key design of FLiP is applying elaborate information reduction on the training data through a local-global dataset distillation design. We measure the privacy performance through attribute inference and membership inference attacks. Extensive experiments show that FLiP strikes a good balance between model accuracy and privacy protection.