SAFE: 개인 정보 보호를 위한 안전하고 정확한 연합 학습 기반 뇌-컴퓨터 인터페이스

SAFE: Secure and Accurate Federated Learning for Privacy-Preserving Brain-Computer Interfaces

뇌파(EEG) 기반 뇌-컴퓨터 인터페이스(BCI)는 효율성과 휴대성 덕분에 널리 사용되지만, 여전히 일반화 성능 부족, 적대적 공격에 취약함, 개인 정보 유출 등 여러 문제점에 직면해 있습니다. 본 논문에서는 사용자의 개인 정보를 보호하기 위해 모델 훈련 과정에서 데이터를 로컬에 보관하는 연합 학습 기반의 Secure and Accurate FEderated learning (SAFE) 방법을 제안합니다. SAFE는 로컬 배치별 정규화를 사용하여 피험자 간의 특징 분포 차이를 완화하고, 모델의 일반화 성능을 향상시킵니다. 또한, 연합 적대적 학습과 적대적 가중치 변경을 통해 입력 공간과 파라미터 공간 모두에 변화를 주어 적대적 공격에 대한 강건성을 더욱 강화합니다. 운동 상상(MI) 및 사건 관련 전위(ERP) BCI 패러다임을 사용하는 5개의 뇌파 데이터 세트에 대한 실험 결과, SAFE는 14개의 최첨단 방법보다 해독 정확도와 적대적 강건성 모두에서 일관되게 우수한 성능을 보였으며, 개인 정보 보호를 보장했습니다. 특히, 개인 정보 보호를 전혀 고려하지 않는 중앙 집중식 학습 방법보다도 더 나은 성능을 보였습니다. SAFE는 지금까지 알려진 바로는, 대상 피험자의 교정 데이터 없이 높은 해독 정확도, 강력한 적대적 강건성, 그리고 신뢰할 수 있는 개인 정보 보호를 동시에 달성하는 최초의 알고리즘이며, 실제 BCI 시스템에 매우 적합합니다.

Electroencephalogram (EEG)-based brain-computer interfaces (BCIs) are widely adopted due to their efficiency and portability; however, their decoding algorithms still face multiple challenges, including inadequate generalization, adversarial vulnerability, and privacy leakage. This paper proposes Secure and Accurate FEderated learning (SAFE), a federated learning-based approach that protects user privacy by keeping data local during model training. SAFE employs local batch-specific normalization to mitigate cross-subject feature distribution shifts and hence improves model generalization. It further enhances adversarial robustness by introducing perturbations in both the input space and the parameter space through federated adversarial training and adversarial weight perturbation. Experiments on five EEG datasets from motor imagery (MI) and event-related potential (ERP) BCI paradigms demonstrated that SAFE consistently outperformed 14 state-of-the-art approaches in both decoding accuracy and adversarial robustness, while ensuring privacy protection. Notably, it even outperformed centralized training approaches that do not consider privacy protection at all. To our knowledge, SAFE is the first algorithm to simultaneously achieve high decoding accuracy, strong adversarial robustness, and reliable privacy protection without using any calibration data from the target subject, making it highly desirable for real-world BCIs.