Poste de doctorat F/H Apprentissage fédéré robuste – Sophia-Antipolis, France

Type de contrat : Contrat à durée déterminée

Niveau de qualification requis : Diplôme d’études supérieures ou équivalent

Fonction : Poste de doctorat

À propos du centre de recherche ou du département Inria

Le centre Inria d’Université Côte d’Azur regroupe 42 équipes de recherche et 9 services supports. Le personnel du centre (environ 500 personnes) est composé de scientifiques de différentes nationalités, d’ingénieurs, de techniciens et de personnels administratifs. Les équipes sont principalement implantées sur les campus universitaires de Sophia Antipolis et de Nice ainsi que de Montpellier, en étroite collaboration avec les laboratoires et établissements de recherche et d’enseignement supérieur (Université Côte d’Azur, CNRS, INRAE, INSERM…), mais aussi avec les acteurs économiques régionaux.

Présent dans les domaines des neurosciences et de la biologie computationnelles, de la science des données et de la modélisation, de l’ingénierie logicielle et de la certification, ainsi que de la robotique collaborative, le Centre Inria d’Université Côte d’Azur est un acteur majeur en termes d’excellence scientifique par ses résultats et ses collaborations tant au niveau européen qu’international.

Contexte

Ce poste fait partie d’un nouveau réseau de formation Marie Curie appelé FINALITY, dans lequel Inria s’associe à des universités et des industries de premier plan, notamment l’IMDEA, le KTH, la TU Delft, l’Université d’Avignon (chef de projet), le Cyprus Institute, Nokia, Telefonica, Ericsson, Orange, entre autres. Les doctorants auront la possibilité de faire des stages auprès d’autres partenaires universitaires et industriels et pourront participer à des écoles d’été et à des ateliers thématiques organisés par le projet.

Seules les personnes ayant séjourné moins d’un an en France au cours des 3 dernières années sont éligibles.

Le candidat recevra une allocation mensuelle de subsistance d’environ 2 735 €, une allocation de mobilité de 414 € et, le cas échéant, une allocation familiale de 458 € (montants bruts).

Affectation

L’apprentissage fédéré (FL) permet à une multitude d’appareils IoT, notamment les téléphones mobiles et les capteurs, de former de manière collaborative un modèle d’apprentissage automatique global tout en conservant leurs données localement [1,2]. Un exemple frappant de FL en action est le Gboard de Google, qui utilise un modèle formé par FL pour prédire les entrées utilisateur ultérieures sur les smartphones [3].

Deux défis principaux se posent lors de la phase d’apprentissage de FL [4] :

Confidentialité des données : garantir la confidentialité des données utilisateur. Même si les données sont conservées localement par les appareils, il a été démontré qu’un serveur honnête mais curieux peut toujours reconstruire des échantillons de données [5,6], des attributs sensibles [7,8] et le modèle local [9] d’un appareil ciblé. En outre, le serveur peut mener des attaques par inférence d’appartenance [10] pour identifier si un échantillon de données est impliqué dans la formation ou des attaques par inférence de source pour déterminer quel appareil stocke un échantillon de données donné [11].

Sécurité contre les participants malveillants : s’assurer que le processus d’apprentissage ne soit pas perturbé par des acteurs malveillants. Des recherches récentes ont démontré qu’en l’absence de mesures de protection, un agent malveillant peut détériorer les performances du modèle en inversant simplement les étiquettes [12] et/ou le signe du gradient [13] et même injecter des portes dérobées dans le modèle [14] (les portes dérobées sont des vulnérabilités cachées, qui peuvent être exploitées dans certaines conditions prédéfinies par l’attaquant, comme certaines entrées spécifiques).

Des algorithmes différentiellement privés [15] ont été proposés pour relever les défis de la protection de la vie privée des utilisateurs. Ces algorithmes fonctionnent en coupant les gradients et en y ajoutant du bruit avant la transmission, garantissant que des modifications mineures dans l’ensemble de données d’entraînement d’un utilisateur ne seront pas perceptibles par des adversaires potentiels [16,17,18,19,20]. En exploitant les mécanismes différentiellement privés, [19] montre que les adversaires sont incapables de déduire les informations locales exactes des véhicules pour des applications telles qu’Uber. De plus, [20] démontre que la qualité de l’attaque de reconstruction des données est considérablement réduite lors de l’entraînement d’un réseau neuronal convolutionnel sur l’ensemble de données CIFAR-10.

Pour améliorer la sécurité du système contre les menaces adverses, des mécanismes de résilience byzantine sont mis en œuvre côté serveur. Ces algorithmes sont conçus pour identifier et atténuer les actions ou les entrées potentiellement préjudiciables des utilisateurs, garantissant que même si certains composants agissent de manière malveillante ou erratique, le système global reste fonctionnel et sécurisé [21,22,23,24]. Des expériences [21] révèlent que l’intégration de ces mécanismes de résilience byzantine maintient la précision du réseau neuronal à 90,7 %, même lorsque 10 % des agents inversent de manière malveillante les étiquettes sur l’ensemble de données MNIST. En revanche, sans une telle protection, la précision du réseau neuronal chute considérablement à 77,3 %.

L’intégration de la confidentialité différentielle avec la résilience byzantine présente un défi notable. Des recherches récentes suggèrent que lorsque ces deux mesures de sécurité sont combinées dans leurs formes actuelles, l’efficacité de l’algorithme résultant dépend de manière disproportionnée du nombre de paramètres dans le modèle d’apprentissage automatique ( d ) [25]. En particulier, il faut soit que la taille du lot augmente linéairement avec la racine carrée de d , soit que la proportion d’agents malveillants dans le système diminue avec un taux inversement proportionnel à la racine carrée de d . Pour un modèle réaliste tel que ResNet-50 (avec environ 25 millions de paramètres), la taille du lot doit être supérieure à 5000, ce qui est clairement peu pratique. Pour résoudre ce problème, de nouveaux algorithmes résilients byzantins ont été récemment proposés [26,27]. Cependant, ces algorithmes rencontrent une complexité de calcul importante, avec un taux d’au moins d3 dans chaque cycle de communication. Par conséquent, il existe un besoin urgent de méthodes innovantes capables d’intégrer de manière transparente la confidentialité différentielle et la résilience byzantine avec une faible complexité de calcul pour former des réseaux neuronaux pratiques.

Objectif du projet
L’objectif de cette thèse est de proposer de nouveaux algorithmes FL pour relever efficacement ces deux défis liés entre eux. En particulier, nous souhaitons explorer les potentialités de la compression pour l’entraînement FL, car ces techniques peuvent réduire considérablement la dimension d du modèle , ce qui peut fournir une solution pour un système FL privé et sécurisé efficace en termes de calcul.

Les techniques de compression ont été initialement introduites pour réduire les coûts de communication dans les processus de formation distribués, où seule une partie des paramètres du modèle est envoyée de l’appareil au serveur à chaque cycle de communication [28,29,30]. L’objectif principal de la conception de la compression est de garantir un système d’apprentissage automatique/FL efficace en termes de communication, en fournissant des règles de sélection des paramètres du modèle côté appareil qui optimisent les performances du modèle formé dans un budget de communication donné. [31,32] ont combiné les méthodes résilientes byzantines avec la compression, pour garantir un système FL sécurisé et efficace en termes de communication. Cependant, dans ces études, même si les appareils transmettent des modèles compressés au serveur, les méthodes résilientes byzantines fonctionnent toujours sur les modèles complets de dimension d . Par conséquent, l’adoption de leurs solutions pour construire un système FL privé et sécurisé nécessite toujours une charge de calcul élevée.

L’objectif de ce doctorat est d’étudier l’impact des stratégies de compression sur les compromis entre confidentialité, robustesse, efficacité de calcul et performances du modèle, dans le but de concevoir de nouvelles techniques de compression pour un système d’apprentissage fédéré efficace, privé et sécurisé.

Références

[1] McMahan et al., Apprentissage efficace des réseaux profonds à partir de données décentralisées, AISTATS 2017

[2] Li et al, Apprentissage fédéré : défis, méthodes et orientations futures. IEEE Signal Processing Magazine, pp 50-60, 2020
[3] Hard, Andrew et al, Apprentissage fédéré pour la prédiction du clavier mobile. arxiv : 1811.03604, 2019
[4] Kairouz et al, Avancées et problèmes ouverts dans l’apprentissage fédéré. Français Now Foundations and Trends, 2021
[5] Geiping et al, Inverser les gradients – à quel point est-il facile de briser la confidentialité dans l’apprentissage fédéré ?, NeurIPS 2020
[6] Yin et al, Voir à travers les gradients : Récupération par lots d’images via gradinversion, CVPR 2021
[7] Lyu et al, Une nouvelle attaque de reconstruction d’attributs dans l’apprentissage fédéré, FTL-IJCAI 2021
[8] Driouich et al, Une nouvelle attaque d’inférence d’attributs basée sur un modèle dans l’apprentissage fédéré, FL-NeurIPS22, 2022.
[9] Xu et al, Qu’est-ce qui est encore divulgué lors de l’écoute clandestine de l’apprentissage fédéré ? PPML-CCS, 2021
[10] Zari et al, Efficient Passive Membership Inference Attack in Federated Learning, atelier PriML-NeurIPS, 2022
[11] Hu et al, Source inference attack in federated learning, ICDM 2021
[12] Fang et al, Local model poisoning attack to byzantine-robust federated learning, dans 29e USENIX Security Symposium, 2020
[13] Wu et al, Federated variance-reduced stochastic gradient descent with robustness to byzantine attack, IEEE Transactions on Signal Processing, vol. 68, pp. 4583–4596, 2020
[14] Wang et al, Attack of the tails : oui, vous pouvez vraiment backdoor federated learning, NeurIPS 2020
[15] Dwork et Roth, A. Les fondements algorithmiques de la confidentialité différentielle. Now Publishers Inc., 2013.
[16] Abadi, M et al., Apprentissage profond avec confidentialité différentielle. ACM CCS 2016
[17] Bellet et al., Apprentissage automatique peer-to-peer personnalisé et privé, AISTATS 2018
[18] Noble, M et al., 2022. Apprentissage fédéré différentiellement privé sur données hétérogènes, AISTATS 2022
[19] Zhao, Y et al. Apprentissage fédéré basé sur la confidentialité différentielle locale pour l’Internet des objets. IEEE Internet des objets 2020.
[20] Balle, B et al. Reconstruction des données d’entraînement avec des adversaires informés. 2022 IEEE S&P
[21] Yin et al., Byzantine-Robust Distributed Learning: Towards Optimal Statistical Rates, ICML 2018
[22] Krishna Pillutla et al., Robust Aggregation for Federated Learning, dans IEEE Transactions on Signal Processing, 2022.
[23] Blanchard et al., Machine Learning with Adversaries: Byzantine Tolerant Gradient Descent, NeurIPS 2017
[24] Guerraoui et al., Byzantine Machine Learning: A Primer. ACM Comput. Surv., août 2023
[25] Guerraoui et al., Differential Privacy and Byzantine Resilience in SGD: Do They Add Up?, PODC 2021.
[26] Zhu et al., Byzantine-Robust Federated Learning with Optimal Statistical Rates, AISTATS 2023
[27] Allouah et al., Sur le trilemme confidentialité-robustesse-utilité dans l’apprentissage distribué, ICML 2023.
[28] Alistarh et al., QSGD : sgd efficace en communication via la quantification et le codage du gradient. NeurIPS 2017.
[29] Alistarh et al., La convergence des méthodes de gradient clairsemées. NeurIPS 2018.
[30] Haddadpour et al., Apprentissage fédéré avec compression : analyse unifiée et garanties précises, AISTATS 2021
[31] Gorbunov et al., La réduction de la variance est un antidote aux byzantins : de meilleurs taux, des hypothèses plus faibles et la compression des communications comme cerise sur le gâteau, ICLR 2023
[32] Zhu, H et al. Apprentissage distribué robuste aux byzantins avec compression. IEEE Trans. sur le signal et l’inf. Processus. sur les réseaux 9, 280–294, 2023.

Activités principales

Recherche

Compétences

 Nous recherchons un candidat avec une expérience de codage en Python et de bonnes compétences analytiques.

 Nous attendons du candidat qu’il parle couramment l’anglais.

Ensemble d’avantages

• Repas subventionnés
• Remboursement partiel des frais de transport public
• Congés : 7 semaines de congés annuels + 10 jours de repos supplémentaires en raison de RTT + possibilité de congés exceptionnels (enfants malades, déménagement, etc.)
• Possibilité de télétravail et organisation flexible des horaires de travail
• Matériel professionnel à disposition (visioconférence, prêt de matériel informatique…)
• Événements et activités sociales, culturelles et sportives
• Accès à la formation professionnelle
• Cotisation à une mutuelle (sous conditions)

Rémunération

Le candidat recevra une allocation mensuelle de subsistance d’environ 2 735 €, une allocation de mobilité de 414 € et, le cas échéant, une allocation familiale de 458 € (montants bruts)

Informations générales

• Thème/Domaine : Optimisation, machine learning et méthodes statistiques
  Systèmes & Réseaux (BAP E)
• Ville : Sophia Antipolis
• Centre Inria : Centre Inria d’Université Côte d’Azur
• Date de début : 01/03/2025
• Durée du contrat : 3 ans
• Date limite de candidature : 31/01/2025

Attention : vous devez saisir votre adresse e-mail pour pouvoir enregistrer votre candidature auprès d’Inria. Les candidatures doivent être déposées en ligne sur le site d’Inria. Le traitement des candidatures envoyées par d’autres canaux n’est pas garanti.

Instructions pour postuler

Les candidatures doivent être déposées en ligne sur le site d’Inria. La collecte des candidatures par d’autres canaux n’est pas garantie.

Défense Sécurité :
Ce poste est susceptible d’être situé en zone réglementée (ZRR), telle que définie par le décret n° 2011-1425 relatif à la protection du potentiel scientifique et technique national (PPST). L’autorisation de pénétrer en zone est accordée par le directeur de l’unité, après décision ministérielle favorable, telle que définie par l’arrêté du 3 juillet 2012 relatif à la PPST. Une décision ministérielle défavorable concernant un poste situé en ZRR entraînerait l’annulation de la nomination.

Politique de recrutement :
Dans le cadre de sa politique de diversité, tous les postes d’Inria sont accessibles aux personnes en situation de handicap.

Contacts

• Equipe Inria : NEO
• Directeur de thèse :
  Neglia Giovanni / Giovanni.Neglia@inria.fr

À propos d’Inria

Inria est l’institut national de recherche français dédié aux sciences et technologies du numérique. Il emploie 2 600 personnes. Ses 200 équipes-projets agiles, généralement co-animées avec des partenaires académiques, regroupent plus de 3 500 scientifiques et ingénieurs qui travaillent à relever les défis du numérique, souvent à l’interface d’autres disciplines. L’institut emploie également de nombreux talents dans plus de quarante métiers différents. 900 personnels d’appui à la recherche contribuent à l’élaboration et au développement de projets scientifiques et entrepreneuriaux à impact mondial.