《Ad Hoc Networks》:AFCG: A privacy-preserving federated learning framework against chained malicious attacks for vehicular networks
编辑推荐:
本文针对车辆物联网中联邦学习面临的数据隐私泄露和恶意攻击问题,提出融合参数替换、分层余弦相似度及匿名机制的防御方案。通过动态调整参数替换策略与链式通信结合,实现恶意用户识别与攻击防御,同时采用伪身份验证和参数混淆技术保护用户隐私,实验验证了方案的模型精度保持与攻击防御有效性。
黄辉|周启磊|郝艳华|黄志明
闽南师范大学计算机科学学院,中国福建省漳州市仙前街36号,363000
摘要
车联网(IoV)通过车辆与所有连接实体之间的实时数据共享,提高了交通安全和效率。然而,对数据隐私保护和安全问题的日益关注已成为限制IoV系统进一步发展的关键因素。联邦学习(FL)因其能够在不上传原始车辆数据的情况下实现模型更新而被引入到IoV中。尽管FL通过本地模型更新保护了隐私,但现有方法在防御IoV链式架构中恶意客户端发起的投毒攻击方面仍面临重大挑战。因此,本文提出了一种新的防御方案,该方案结合了参数替换、层次余弦相似性和匿名机制。所提出的方案采用了一种灵活的参数替换机制,根据检测到的恶意程度动态调整其策略:当恶意模型参数较少时,可以直接替换它们;而当恶意模型参数较多时,会触发高损失提前停止策略。同时,系统使用分层更新分析和匿名身份验证来准确识别和移除恶意用户。此外,该方案还结合了模型传输的匿名化和参数混淆技术,在防御操作期间同时保护用户身份和参数隐私,从而为安全和隐私提供了双重保障。实验结果表明,该方案在抵抗数据投毒攻击的同时保持了模型准确性,显著增强了链式架构中的安全性和隐私保护。
引言
随着物联网(IoT)技术的快速发展,作为IoT关键分支的车载自组织网络(VANET)正在逐渐改变人们的出行方式和交通管理系统[1]。通过车辆、道路基础设施和云之间的通信,VANET能够实现交通信息的实时收集、处理和共享,从而提高了交通效率并降低了事故风险。然而,数据隐私和安全问题是VANET面临的主要挑战,对其发展构成了关键限制。
联邦学习(FL)作为一种新兴的分布式机器学习框架,允许多个参与者在不直接共享原始数据的情况下共同训练模型[2]。这一特性为VANET中的数据隐私保护提供了一种新颖而有效的解决方案。现有研究表明,尽管FL具有保护隐私的能力,但在VANET中仍面临参数泄露导致的数据推断、对抗性参数操纵以及对动态网络攻击的结构性脆弱性等关键挑战。
为了增强数据保护,研究人员正在探索将联邦学习与其他隐私保护技术相结合。例如,向模型参数或梯度添加噪声(称为差分隐私,DP)可以保护数据。周启磊的自适应噪声[3]和Abadi的高斯噪声[4]可以保护隐私,但会降低模型性能。另一方面,研究人员尝试将FL与安全多方计算(SMC)[5]技术相结合。马等人提出了一种基于双门限同态加密的隐私保护方法[6],Mohassel等人引入了一个双服务器安全计算框架[7]。尽管这些方法提高了计算准确性,但通常需要大量的通信和计算开销。
近年来,李等人[8]提出了一种名为Chain-PPFL的隐私保护框架,有效克服了传统方法的局限性。该框架采用两种机制:单层掩码和链式通信,构建一个序列链在参与者之间依次传输掩码信息。基于李等人的研究,崔等人[9]开发了一种用于车辆网络的去中心化隐私保护链。该方案采用多链并行结构,只有第一个用户在传输梯度之前对其进行掩码处理,后续用户依次添加他们的梯度,最后一个用户将聚合结果发送回第一个用户,后者再解码以获得全局模型。然而,这种方法只能在链内的车辆之间实现局部模型聚合,而无法获得真正全面的全局模型。此外,所提出的方案缺乏内置的鲁棒性机制,如果链中的任何参与者提交恶意梯度,整个链的全局模型将容易受到对抗性影响。
为了解决上述问题,本文提出了一种适用于车联网的联邦学习方案,能够在链式结构中识别恶意用户。与现有工作不同,本文的主要贡献在于将恶意用户识别机制嵌入到链式聚合过程中,从而在保护隐私的同时实现链式安全防御。现有的基于链的方案[8]、[9]、[10](如Chain-PPFL)通常仅关注隐私保护,难以有效抑制链上的潜在恶意活动。相比之下,基于余弦相似性的传统防御方法[11]、[12]、[13]主要针对节点直接连接到中央服务器的拓扑结构设计,无法直接应用于串行链场景。本文提出了参数替换和链式机制的有机集成,不仅克服了传统防御方法在链式结构中的局限性,还实现了隐私和鲁棒性的统一保障。
具体来说,通过验证参数替换不等式,该方法有选择地将最优参数纳入共享模型,从而保持模型准确性。此外,服务器验证每个链上传的公共模型以识别恶意用户。本文的贡献可以总结如下:
- •
我们采用了一种灵活的参数替换方法。当模型参数中的恶意模型参数较少时,可以通过参数替换方法移除它们;当模型参数中的恶意模型参数较多时,用户可以依赖高损失提前停止策略,从而有效抑制恶意参数的传输并确保系统运行。
- •
在参数替换的基础上,我们将匿名技术与余弦相似性算法结合,设计了一种用于链式结构的恶意用户识别方法。这种方法可以检测恶意用户并将它们从链中移除,从而提高链式结构的安全性和可靠性。
- •
在链式传输过程中,我们使用匿名信息传输公共模型,确保用户身份信息不会泄露。参数替换后,新添加的模型参数在公共模型中被混淆,防止其他用户从公共模型中推断出新添加的参数信息,从而保护用户隐私。
本文的其余部分组织如下:第2节回顾了联邦学习和自动驾驶车辆系统的相关工作。第3节介绍了初步知识。第4节描述了系统框架、威胁模型和安全目标。第5节详细介绍了所提出的方案,第6节进行了安全分析。第7节展示了实验评估。最后,第8节总结了本文。
节选
车载网络中的联邦学习
在多样化的车载网络环境中,车辆作为移动数据收集节点,持续收集高度敏感的数据,包括位置信息、驾驶行为模式和精密传感器读数[14]、[15]、[16]。由于FL独特的分布式架构和隐私保护特性,它在各种车载网络应用场景中显示出巨大潜力,包括轨迹预测、停车管理、数据收集等。
系统模型
我们的系统包括三个实体:第三方服务提供商(TSP)、路边单元(RSU)和车辆(Vs)。系统框架如图2所示。
TSP:TSP是一个受信任的第三方实体,负责从RSU接收本地模型,将其聚合为全局模型,并将聚合模型分发回路边单元。
RSU:在智能交通系统中,整个区域被划分为几个小区域,每个区域由一个RSU管理。
提出的方案
在本节中,我们将详细介绍我们的方案。我们的方案确保:(1)即使在存在恶意参与者的情况下,全局模型也能保持高准确性;(2)服务器能够有效检测恶意投毒用户;(3)用户隐私能够免受推断攻击。在本节的其余部分,我们将介绍系统的详细结构及其工作流程。表1列出了本文中使用的关键符号及其描述。
收敛性分析
本小节从理论上分析了所提出方案的收敛性,证明了即使在恶意用户存在的情况下,系统仍能确保全局模型的收敛。
假设全局目标函数是-强凸的,且每个本地车辆的目标函数也是-平滑的,并且具有有界的随机梯度方差:
在参数替换阶段,车辆整合了本地的高质量参数
实验设置
数据集:我们选择了两个不同的数据集,即MNIST数据集和CIFAR-10数据集。MNIST数据集包含从0到9的手写数字,共70,000张图片,每张图片是28 × 28的灰度图像,并附带0到9的标签。CIFAR-10数据集包含60,000张32 × 32的RGB彩色图像,涵盖10类常见物体。GTSRB数据集是一个用于交通标志识别的数据集,包含43种不同的德国交通标志。
结论
本文提出的方案结合了参数替换、余弦相似性和匿名技术来识别和消除链中的恶意用户,从而确保全局模型的准确性。具体来说,在链式传播过程中,我们通过替换方法或基于高损失的提前停止机制检测传输的恶意模型,确保及时替换或识别恶意模型。同时,服务器
CRediT作者贡献声明
黄辉:撰写 – 审稿与编辑,资金获取。周启磊:撰写 – 原始草案,方法论。郝艳华:数据整理。黄志明:验证。
利益冲突声明
作者声明他们没有已知的利益冲突或个人关系可能影响本文报告的工作。
致谢
本研究得到了福建省自然科学基金(编号:2023J01920)、福建省关键技术创新与产业化项目(编号:2024XQ020)以及闽南师范大学的校长研究基金(编号:KJ18024)的支持。
