摘要
联邦学习是一种新颖的隐私计算技术,它可以有效地打破隐私保护和数据使用之间的困境。然而,在该技术被广泛应用的同时,它自身的安全问题也凸显出来。攻击者可以使用投毒攻击影响整个模型训练过程,有效降低全局模型的可用性。研究抵御投毒攻击的防御方法可以增强联邦学习技术自身的可靠性,具有重要的学术和应用价值。目前已有的防御方法主要面向一般的分布式学习环境而提出,没有考虑联邦学习自身的特殊性所在,在实际应用中会出现无法适用、效果有限等问题。针对上述问题,本文研究适用于联邦学习环境下抵御投毒攻击的防御方法。 本文研究了联邦学习环境下数据投毒攻击的防御方法。本文首先对联邦学习场景的特殊性进行了研究,研究发现FedAvg算法和非独立同分布数据都让该环境下的防御变得更加困难。针对这一研究结果,本文提出的防御方法通过更复杂的机制来识别潜在的恶意模型,并通过权重分配策略来抑制它们对全局模型的影响。由于真实环境中,服务器无法感知攻击者的存在,该方法可以在有攻击者的条件下抑制恶意模型的攻击效果,同时在无攻击者时也能维持正常训练时的较高模型准确率。 另外,本文从实验和理论上分析了联邦学习这种分布式架构下特有的模型投毒攻击,展示了这类攻击的有效性和利用传统思路进行防御的困难性。为此,本文提出了以破坏恶意模型特征为思路的模型投毒防御策略,具体研究了基于差分隐私的防御方法和基于选择性聚合的防御方法。其中,基于选择性聚合的防御方法以模型更新的符号作为主要特征,对不同的局部模型进行参数选择聚合。实验表明,基于选择性聚合的防御方法对于大多数模型投毒攻击都有较好的抵御作用,证明了该方法的有效性,为防御模型投毒攻击提供了另一种思路。
NETL