[论文解读] Federated Unlearning with Knowledge Distillation
本文提出了一种服务器端的联邦学习去学习方法,通过从最终模型中减去目标客户端的历史更新,并使用蒸馏知识在不使用客户端数据的情况下恢复性能,评估包括后门攻击。
Federated Learning (FL) is designed to protect the data privacy of each client during the training process by transmitting only models instead of the original data. However, the trained model may memorize certain information about the training data. With the recent legislation on right to be forgotten, it is crucially essential for the FL model to possess the ability to forget what it has learned from each client. We propose a novel federated unlearning method to eliminate a client's contribution by subtracting the accumulated historical updates from the model and leveraging the knowledge distillation method to restore the model's performance without using any data from the clients. This method does not have any restrictions on the type of neural networks and does not rely on clients' participation, so it is practical and efficient in the FL system. We further introduce backdoor attacks in the training process to help evaluate the unlearning effect. Experiments on three canonical datasets demonstrate the effectiveness and efficiency of our method.
研究动机与目标
- 说明在联邦学习中移除客户端贡献以满足隐私权(如 GDPR/CCPA)的必要性。
- 定义联邦学习去学习及其在增量、随机化的 FL 设置中的挑战。
- 提出一种基于减去历史更新并通过知识蒸馏纠正的服务器端去学习方法。
- 将后门攻击作为评估去学习效果的实际工具引入。
提出的方法
- 从最终全局模型中减去目标客户端累积更新,得到一个去学习候选模型 M_F'。
- 对因增量 FL 更新导致的减法引入的偏斜进行 epsilon 校正,并应用 lazy-unlearning 假设。
- 在未标记的数据集上应用知识蒸馏,使用原始全局模型作为教师,M_F' 作为学生,在不使用目标客户端数据的情况下恢复性能。
- 在蒸馏中通过温度 T 使用软标签以传递泛化能力,而不引入后门特征。
- 在服务器端评估蒸馏,以使测试准确率接近从头重新训练的性能并抑制后门攻击成功。
实验结果
研究问题
- RQ1如何在不从头重新训练的情况下,从联邦模型中移除指定客户端的影响?
- RQ2服务器端的知识蒸馏是否能缓解由减去客户端历史更新所引入的偏斜?
- RQ3后门攻击是否为评估 FL 去学习效果提供稳健的评估机制?
- RQ4基于蒸馏的去学习是否通过避免重复使用目标客户端的数据来实现隐私保护?
主要发现
| 数据集 | 训练(测试准确率,攻击准确率) | UL-Subtraction(测试准确率,攻击准确率) | UL-Distillation(测试准确率,攻击准确率) | Post-Training(测试准确率,攻击准确率) | Re-Training(测试准确率,攻击准确率) |
|---|---|---|---|---|---|
| MNIST | 98.0;99.7 | 52.2;0 | 97.7;0 | 98.5;0 | 98.2;0 |
| CIFAR-10 | 80.8;99.4 | 10.0;0 | 78.8;6.4 | 81.4;7.3 | 79.5;7.0 |
| GTSRB | 93.0;100 | 3.9;0 | 92.1;0 | 94.0;0 | 92.7;0 |
- 从最终模型中减去目标客户端的历史更新可以消除它们的影响,并使后门攻击在所有数据集中的成功率降至零。
- 服务器端的知识蒸馏在减法后迅速恢复模型准确率,测试准确率接近从头重新训练的性能(差异<1%)。
- 蒸馏不会将目标客户端的后门属性转移到去学习模型,因为蒸馏过程中未使用任何客户端数据。
- 后续训练其他客户端后,后训练蒸馏可以进一步提高准确率。
- 从头重新训练仍是去学习的黄金标准,但所提出的方法在成本远低的情况下也能实现相当的效果。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。