摘要
联邦学习允许多个客户端在不共享数据的情况下,协作地训练一个全局模型,为客户端提供了基本的隐私保护。然而,在联邦学习中,恶意的客户端可能执行投毒攻击,导致全局模型不可用或存在后门;也可能执行推理攻击,获取其他客户端的隐私数据。针对上述两类攻击,本文对联邦学习中投毒与推理攻击的防御方法展开研究。主要研究内容如下: (1)提出两种针对投毒攻击的防御机制:基于阈值的异常更新值去除机制(Threshold-Based Abnormal Update Value Removal Mechanism,简称TBRM)和基于信誉分的聚合机制(Aggregation Mechanism Based on Reputation Score,简称ABRS)。在TBRM机制中,服务器将重构误差的平均值作为阈值,对良性客户端的模型更新值进行筛选,以防御投毒攻击。ABRS是TBRM的一种改进,用于解决TBRM机制可能由于去除良性更新值而导致模型精度降低的问题。在ABRS机制中,服务器根据重构误差计算客户端的信誉分,并基于信誉分对客户端的模型更新值加权聚合,以降低投毒攻击的影响。实验结果表明,上述两种防御机制可以有效防御投毒攻击。 (2)提出针对GAN推理攻击的防御方案。该方案考虑两种攻击者设置:女巫攻击者和单个攻击者。服务器首先使用余弦相似度对女巫攻击者进行检测,如果检查到女巫攻击者,就停止检测并聚合正常客户端的模型,以防御GAN推理攻击。如果未检测到女巫攻击者,服务器通过计算客户端模型的参数变化幅度来识别出攻击者和受害者的模型集合,并对模型集合进行网络剪枝以降低攻击者模型的影响并保护受害者的模型。实验结果表明,所提方案可以有效防御GAN推理攻击。
NETL