摘要
在大数据时代下,联邦学习因其独特的训练方式被广泛应用在各个领域。虽然联邦学习允许用户通过上传梯度或模型的方式来共同训练模型,但其共同参与训练的特性也带来了被恶意攻击的风险,可能给用户或企业造成巨大的损失。因此,研究联邦学习系统中面临的投毒攻击,可以提高人们对其安全问题的关注,从而推动联邦学习发展和应用。本文主要围绕联邦学习投毒攻击中的无目标攻击和有目标攻击展开研究,具体内容如下: (1)针对联邦学习中的无目标攻击,提出了一种差分隐私场景下基于模型参数置乱的攻击算法,MSA(ModelShuffleAttack)算法。现有关于差分隐私的联邦学习工作主要集中在模型性能和隐私性之间的权衡,而MSA算法则利用差分隐私的加噪特性,来掩盖特定投毒攻击的痕迹。具体来说,该算法以一种特殊的打乱和缩放操作生成与良性模型不同的恶意模型。该恶意模型的参数分布能够做到与良性模型近似,且其在测试集上的准确率与操作前一致,以此逃避检测。同时,该恶意模型能够在聚合过程中破坏全局模型的性能,达到攻击的目的。大量的实验表明,MSA算法能够在保证恶意模型隐蔽性的前提下,破坏全局模型的性能。此外,实验也验证了该算法还具有对抗Krum和TrimmedMean等常用的鲁棒性聚合算法的能力。 (2)针对联邦学习中的有目标攻击,提出了一种基于特征相似的后门攻击算法,FSA(FeatureSimilarityAttack)算法。用户在联邦学习结束后,往往有利用本地数据对模型的全连接层重新训练的需求。利用这种需求,FSA算法引入了对比损失项,实现后门攻击。具体来说,该算法通过最小化后门特征和目标特征之间的距离,同时最大化后门特征和非目标特征之间的距离,将后门嵌入到模型的骨干网络中。大量的实验表明,经过FSA算法处理后,在用户初始化全连接层并重新训练模型时,对比传统基于标签的后门攻击,模型的后门存活率有所提升。 此外,通过分析MSA算法和FSA算法的特点,进一步探究了联邦学习中无目标攻击和有目标攻击相结合的可能性。实验表明,无目标攻击和有目标攻击的相互组合是可行的。攻击者可通过制定更加灵活多变的攻击策略来提高攻击的成功率,对联邦学习系统产生更加巨大的破坏。
NETL