Blockchain-based Gradient Inversion and Poisoning Defense for Federated Learning(论文翻译)

（鉴定为水文，over）

摘要：联邦学习已经成为一项有前景的隐私保护机器学习技术，使多个客户能够共同训练一个全局模型，而无需共享原始数据。随着联邦学习在物联网场景中的日益普及，对安全和隐私的担忧变得至关重要。特别是，梯度反转攻击和毒化攻击对全局模型的完整性和效果构成了重大威胁。为此，我们提出了一种基于区块链的全面防御机制，有效保护联邦学习系统免受此类攻击。我们采用了一种新颖的技术组合，包括公共区块链级别的保护和私有区块链级别的保护，二者协同工作，防止攻击者利用获得的梯度重构数据。这种独特的方法组合为联邦学习物联网场景中的梯度反转攻击提供了强大的防御。我们进行了大量实验证明了我们提出的方法对梯度反转和毒化攻击的有效性。实验结果表明，在毒化攻击下，我们的方法能够实现更高的准确性和稳定的训练损失收敛，说明我们的方法可以应用于广泛的联邦学习物联网场景，增强分布式机器学习系统的安全性和隐私性。
关键词—区块链，物联网，联邦学习，梯度反转攻击，毒化攻击，安全，隐私

INTRODUCTION:
物联网（IoT）的快速发展引入了一个新时代的互联设备和数据生成，涵盖了各个领域的无数应用，包括医疗保健、交通运输、智能家居和农业[1]。数据的指数级增长促使了先进的机器学习技术的发展，以分析并从这些数据中提取可操作的见解。由于传统的集中式机器学习模型在数据隐私、通信开销和可扩展性方面面临挑战，联邦学习（FL）已经成为一种有前景的分散式方法来解决这些问题[2]。联邦学习通过保留数据在本地设备上并仅共享模型更新的方式，使得能够使用来自各种设备的数据来训练机器学习模型，同时保护用户隐私[3]。这种方法在物联网场景中变得越来越流行，其中许多连接的设备在边缘生成和处理数据。联邦学习不仅减少了将大量数据传输到中央服务器相关的通信开销，而且在确保敏感信息安全的同时，促进了边缘设备之间的协作学习[4]。

然而，联邦学习的分布式特性使其容易受到各种攻击，这些攻击可能危及学习过程、模型性能和整个系统的安全性[5]。其中，梯度反转攻击（GIA）和毒化攻击（PA）尤为具有破坏性。梯度反转攻击涉及对手以一种破坏学习过程的方式操纵梯度更新，最终损害模型的性能[6]。这些攻击难以检测，因为对手可以巧妙地改变梯度更新，导致模型性能随时间逐渐下降。

另一方面，毒化攻击（PA）是由对手注入恶意数据样本到训练过程中精心策划的[7]。这些数据样本经过精心设计，以操纵模型的行为，导致在面对特定输入时产生不正确或恶意的输出[8]。这些恶意数据样本通常看似合法，使其难以识别和防止此类攻击。毒化攻击的后果可能严重，导致模型性能和完整性下降，如果在关键应用中部署，可能会造成重大损害。

鉴于在物联网（IoT）和联邦学习（FL）中数据安全和隐私的重要性，开发有效的防御机制以抵御这些类型的攻击至关重要。区块链技术以其固有的去中心化和防篡改性质，已经成为增强物联网场景中FL安全性的有前景的解决方案[9]。通过利用区块链技术提供的加密功能、共识算法和智能合约，我们可以确保FL过程中使用的梯度更新和数据样本的完整性和真实性。

针对这些威胁，我们提出了一个创新的框架，结合了区块链技术和差分隐私，以抵御联邦学习中的梯度反转攻击和毒化攻击。为了防范梯度反转攻击，我们的框架采用了双重手段。首先，它使用公共区块链通过智能合约保护客户上传的梯度信息，并应用**差分隐私随机梯度下降（DPSGD）**以加强保护。其次，它整合了一个私有区块链，在联邦学习过程中，客户直接集成DPSGD以保护梯度。为了防范毒化攻击，我们的框架充分利用区块链技术提供的可追溯性，以识别并将攻击者从学习过程中排除。

本文介绍了所提出的防御框架的设计和实施，详细说明了其组成部分和对抗梯度反转攻击（GIA）和毒化攻击（PA）的基本机制。该框架旨在确保在联邦学习过程中使用的数据的安全性和隐私，提高训练模型的整体可靠性和性能，并为各种攻击场景提供强大的保护。
我们的贡献如下：
1、我们开发了一个基于区块链的防御系统，针对联邦学习物联网应用中的梯度反转和毒化攻击，直接解决了关键的安全和隐私问题。这一创新性的解决方案缓解了对全局模型完整性和效果的威胁，值得考虑在广泛范围内推广采用。
2、我们的方法独特地结合了公共和私有区块链层级，确保了梯度的强大保护同时保持模型性能和效用。这种平衡和全面的方法相较于现有技术具有显著的优势，因为它能够应对更广泛的攻击向量，而不损害模型的质量。
3、大量实验证实了我们方法的有效性，揭示了在攻击场景中准确性的提高和稳定的训练损失收敛。这些发现展示了我们的方法在增强各种物联网应用的安全性和隐私性方面的潜力，从而证明了其在联邦学习研究社区中的相关性和价值。

本文的结构组织如下：第二部分介绍了联邦学习、区块链、梯度反转攻击（GIA）和毒化攻击（PA）的基本概念。第三部分详细说明了问题定义和系统模型。在第四部分，概述了所提出的框架，而第五部分深入探讨了隐私和安全性的影响。第六部分呈现了实验结果，第七部分回顾了相关文献。最后，第八部分讨论了潜在的研究方向，并总结了该研究。

II. PRELIMINARY
在本节中，我们介绍构成我们所提出的防御框架基础的基本概念和技术。我们概述了联邦学习、区块链、梯度反转攻击和毒化攻击，讨论它们的基本原理、特征以及对联邦学习系统的安全性和性能的影响。

A. Federated Learning
联邦学习是一种分散式机器学习方法，允许多个设备协作训练一个全局模型，同时保留它们的原始数据[10]。假设有n个客户端（C1、C2、…、Cn）和它们各自的数据集（D1、D2、…、Dn）希望训练一个模型。传统的方法是收集所有数据并进行总和Msum的训练。然而，在联邦学习中，包含了三个阶段：
1、中央服务器确定参与当前训练轮次的客户端，并传播现有的全局模型MFed。
2、每个参与的客户端Ci都独立计算一个本地模型，利用其本地数据集Di，包含ni个样本。随后，本地模型被传递到中央服务器。
3、中央服务器汇编来自每个参与客户端的本地模型并生成更新的全局模型MFed。如果这个新的全局模型的准确性满足预定的阈值，训练过程停止；否则，过程将继续进行到下一轮训练。

此外，被表示为VSum的MFed的准确性应该接近于Msum的准确性VSum。如果我们有

那么我们说联邦学习算法具有ϵ-准确性损失。

B. Blockchain
区块链是一种去中心化、分布式账本技术，它能够在节点网络上实现数据的安全、透明和防篡改存储[11]。区块链技术由一系列区块组成，每个区块包含一组交易或记录，与前一个区块进行了密码学链接。这种结构确保了数据的不可变性和完整性，因为要修改一个区块的内容，就需要修改所有后续的区块，这在计算上是不可行的。区块链技术的关键组成部分和特征包括：
1、共识算法：这些算法用于在参与节点之间就交易的有效性和分布式账本的状态达成一致[12]。常见的共识算法包括工作证明（PoW）、权益证明（PoS）和实用拜占庭容错（PBFT）。共识算法的选择对区块链网络的可扩展性、安全性和能源效率有重要影响。
2、密码学技术：区块链采用各种密码学技术，如哈希函数、数字签名和公钥基础设施（PKI），以确保数据的安全性、机密性和不可否认性[13]。这些技术在保护存储在区块链上的数据的隐私和完整性方面起着至关重要的作用。
3、智能合约：这些是具有协议条款直接编写成代码的自执行合约。智能合约在区块链网络上运行，实现了预定义规则和条件的去中心化、无信任执行[14]。它们可以用于以安全、透明的方式自动化各种流程，如验证、认证和数据共享。
4、公共和私有区块链：公共区块链，如比特币和以太坊，对任何人开放，允许透明和去中心化的数据存储和验证[15]。相比之下，私有区块链是有权限的，意味着只有经过授权的实体可以加入和参与网络。与公共区块链相比，私有区块链通常提供更高的可扩展性、隐私性和控制性。

由于区块链技术具有可追溯性、安全性和去中心化等内在特性，因此特别适用于保护联邦学习系统。通过利用区块链技术，我们的防御框架能够有效地保护学习过程中使用的数据和模型更新的隐私和完整性，确保训练模型的整体可靠性和性能。

C. Gradient Inversion Attack in Federated Learning
在联邦学习中，梯度反转攻击（GIA）是一种复杂的对抗性攻击，其主要目标不仅是降低模型的性能，更关键的是从梯度中逆向工程原始训练数据[16]。这个过程被称为“反转”，因为其目标是从共享的梯度中重构私有数据。

在联邦学习期间，客户端根据其本地数据计算梯度更新 (∇L) 并将其传输到中央服务器。在梯度反转攻击中，攻击者的目标是利用这些梯度重构原始训练数据，从而侵犯隐私。这与仅仅反转学习过程或为了其他对抗性目标而操纵梯度是根本不同的。攻击者对于这种反转的方法可以被表示为一个寻求从梯度中推导数据近似的函数，超越了一般梯度或模型攻击中的简单操作。攻击者可以通过以下方式执行这种操作

其中，∇LA代表攻击者提交的恶意梯度更新，α和β是控制反转强度的攻击参数，而∇A是攻击者制作的额外对抗性梯度。
抵御梯度反转攻击需要实施强大的机制，以确保在参与设备之间共享的梯度更新的真实性和完整性。

D. Poison Attack in Federated Learning
毒化攻击是另一种针对联邦学习系统的对抗性攻击[7]，攻击者会将经过精心设计的恶意数据样本（x∗，y∗）注入到训练过程中。这些毒化样本可以对全局模型的性能产生负面影响，并导致模型产生不正确的预测。

攻击者的目标是最大化损失函数 L(x∗, y∗, w)，其中 w 是模型参数，以影响训练过程：

其中，λ是控制毒化效果强度的攻击参数，而 (