Skip to main content
QUICK REVIEW

[論文レビュー] Robust Aggregation for Adaptive Privacy Preserving Federated Learning in Healthcare

Matei Grama, Maria Musat|arXiv (Cornell University)|Sep 17, 2020
Privacy-Preserving Technologies in Data参考文献 17被引用数 28
ひとこと要約

本稿は、医療応用を想定したプライバシー保護型フェデレーテッドラーニングフレームワークを提案する。このフレームワークは、微分プライバシー(DP)とkアナニマスを、AFA や MKRUM といったByzantine耐性アグリゲーション手法と組み合わせ、適応的で耐障害性の高いアグリゲーションを実現する。実験により、AFA がポisoning 攻撃下でもモデルの精度を維持しながら、悪意あるまたは故障したクライアントを効果的に検出・ブロックできることを示し、DP による収束への影響は最小限であることが明らかになった。

ABSTRACT

Federated learning (FL) has enabled training models collaboratively from multiple data owning parties without sharing their data. Given the privacy regulations of patient's healthcare data, learning-based systems in healthcare can greatly benefit from privacy-preserving FL approaches. However, typical model aggregation methods in FL are sensitive to local model updates, which may lead to failure in learning a robust and accurate global model. In this work, we implement and evaluate different robust aggregation methods in FL applied to healthcare data. Furthermore, we show that such methods can detect and discard faulty or malicious local clients during training. We run two sets of experiments using two real-world healthcare datasets for training medical diagnosis classification tasks. Each dataset is used to simulate the performance of three different robust FL aggregation strategies when facing different poisoning attacks. The results show that privacy preserving methods can be successfully applied alongside Byzantine-robust aggregation techniques. We observed in particular how using differential privacy (DP) did not significantly impact the final learning convergence of the different aggregation strategies.

研究の動機と目的

  • 標準的なフェデレーテッドラーニングが医療環境における悪意あるまたは故障したクライアントに対して脆弱であるという問題に取り組む。
  • 微分プライバシーとkアナニマスを、医療データ向けフェデレーテッドラーニングにおける耐障害性アグリゲーション技術と統合する効果を評価する。
  • プライバシー保護手法がポisoning 攻撃下でのグローバルモデルの耐障害性と収束特性に与える影響を調査する。
  • 再現可能な実験を可能とする統合型オープンソースフレームワークの開発および公開

提案手法

  • フレームワークは中央サーバーと複数のクライアント(病院)から構成され、各クライアントは生のデータを共有せずに、プライベートな医療データ上で局所モデルを学習する。
  • 局所モデルのパラメータは、FedAvg、AFA、MKRUM、COMED といった耐障害性アグリゲーション手法で集約され、AFA はモデルの類似度に基づきクライアントの重みを動的に調整する。
  • 微分プライバシーは、モデル更新にキャリブレーションされたノイズを追加することで個々のデータを保護する。一方、kアナニマスは属性値を一般化することで再識別リスクを低減する。
  • ポisoning 攻撃は、グローバルモデルの学習を妨げる悪意あるまたは故障したモデル更新を送信するクライアントを模擬することで実装される。
  • 実験は、Pima Indians Diabetes および Cleveland Heart Disease の2つの実世界データセットを用い、3層の全結合層を備えたニューラルネットワークで実施された。
  • モデルの性能は、複数のフェデレーテッドラウンドにわたり、精度と誤差率で評価され、悪影響を及ぼすクライアントの検出状況はトレーニング曲線にマークされた。

実験結果

リサーチクエスチョン

  • RQ1微分プライバシーは、医療応用における耐障害的フェデレーテッドアグリゲーションの収束性と精度にどのように影響を与えるか?
  • RQ2AFA や MKRUM といった耐障害性アグリゲーション手法は、医療データを用いたフェデレーテッドラーニングにおいて、悪意あるまたは故障したクライアントを検出・緩和できるか?
  • RQ3kアナニマスは、データポisoning 攻撃下で、標準的および耐障害的アグリゲーション手法の耐障害性を向上させられるか?
  • RQ4異なるサイズとデータ分布を有するデータセット間で、モデルの性能とクライアント検出の特性はどのように変化するか?

主な発見

  • AFA は両データセットで他のアグリゲーション手法を常に上回り、ポisoning 攻撃下でも誤差率が約9%という最低水準を達成した。また、悪意あるおよび故障したクライアントを効果的に検出しブロックした。
  • 微分プライバシーはモデルの収束にほとんど影響を与えず、すべてのアグリゲーション戦略において顕著な精度の低下が認められなかった。これは、プライバシー保護型FLと高い互換性があることを示している。
  • kアナニマスは、より大きな糖尿病データセットでは耐障害性を向上させたが、より小さな心疾患データセットでは性能向上に寄与しなかった。これは、データサイズと分布に敏感である可能性を示唆している。
  • MKRUM は心疾患データセットにおいてDP下で収束に困難をきたしたが、AFA と COMED は安定した性能を維持した。これは、各手法がプライバシー機構に対して感受性を示す可能性があることを示している。
  • AFA は心疾患実験で3名の疑わしいクライアント(2名の悪意ある、1名の故障した)を検出しブロックしたが、正常なクライアントのブロッキングはまれであり、収束にほとんど影響を与えなかった。
  • 構文的アプローチ(kアナニマス)は結果が混合した:大規模データセットでは有効であったが、小規模データセットでは無効であった。これは、データ多様性の低下と一般化ノイズの増加による可能性が示唆される。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。