摘要
联邦学习是由Google在2016年提出的一种具有隐私保护特性的分布式机器学习框架,它让服务器在不直接获取原始数据的基础上,联合客户端共同训练出一个精度较高的全局模型。然而在现有的联邦学习研究中,通常假设参与训练的客户端都是可信的,但在真实的应用场景中并非这样。一些参与训练的客户端在出现设备故障或者被攻击者控制时,可能会向服务器发送错误的模型更新参数,从而导致服务器聚合后的全局模型不可用,已有研究将这类攻击称为投毒攻击。根据攻击者的目标,投毒攻击可以分为两类:非定向投毒攻击和定向投毒攻击。本文在真实的数据集MNIST、Fashion-MNIST和CIFAR10上深入分析与研究了这两类投毒攻击的危害,指出了已有投毒攻击方法的局限性,并根据这些局限性设计了新的攻击方案,除此之外,本文还根据改进后的投毒攻击针对性地提出了防御方法。本文的主要研究成果如下: 本文分析现有的非定向投毒攻击方法的局限性及解决方法,并对改进后的非定向投毒攻击提出相应的防御方法。首先,根据投毒方式的不同,本文将现有的方法分为数据投毒实现和模型投毒实现两种,并通过实验验证了现有攻击方法的攻击效果。其次,本文指出现有的攻击方法没有考虑联邦学习场景下的通信开销,因此这些攻击方法无法在现实场景下部署。之后,本文通过实验验证了在添加通信压缩方法后,现有的攻击方法会失效。基于该问题,本文根据通信压缩函数的映射关系,提出一种新的基于投票的非定向投毒攻击方法,该方法在具有通信压缩的联邦学习训练中保证了攻击效果。在此之后,针对该攻击,本文提出了基于模型更新参数对全局模型准确率影响的防御方法,通过实验验证了防御有效性。 本文分析现有的定向投毒攻击方法的局限性及解决方法,并对改进后的定向投毒攻击提出相应的防御方法。首先,本文分析现有的定向攻击方法的实现方式。其次,本文指出在联邦学习场景下,每轮参与训练的客户端是随机选择的,如果恶意客户端仅在训练前期被选中,那么植入的后门会很快失效,导致定向攻击失败。针对该问题,本文提出了一种将后门插入良性客户端不常更新的坐标中的定向投毒攻击方法来增加后门保持的时间。针对这一新的攻击,提出了动态选择部分参数更新全局模型的防御方法,通过实验验证了防御有效性。
NETL