乐紫莹 等: 基于梯度放大的联邦学习激励欺诈攻击与防御                                                     2255


                 datasets  such  as  MNIST,  the  findings  of  this  research  demonstrate  that  the  proposed  attack  method  significantly  increases  rewards,  while
                 the corresponding defense method effectively mitigates fraudulent behavior by participants.
                 Key words:  federated learning; reward fraud attack; gradient scale-up attack (GSupA); malicious participant detection; security protection

                    随着人工智能相关技术的快速发展和广泛应用, 人工智能应用已在制造、交通、互联网等多个领域产生了积
                 极深刻的影响. 人工智能的发展离不开大数据的积累, 而现有的数据孤岛问题使数据信息难以交流整合, 阻碍了人
                 工智能的未来发展. 为了解决人工智能中存在的数据孤岛问题, 谷歌在                      2016  年提出了联邦学习框架      [1,2] . 在联邦学
                 习框架中, 各参与者使用本地数据集训练模型并将模型梯度上传至服务器, 服务器对各参与者的本地模型梯度进
                 行聚合操作来更新全局模型梯度, 由此各参与者在不转移本地数据的情况下合作训练了一个联合模型, 能够保护
                 数据隐私安全. 联邦学习最终得到的结果很大程度上依赖于各参与者的本地数据和本地模型梯度, 为了吸引更多
                 优质数据持有者参与联邦学习, 提高各方参与训练的积极性和参与水平, 联邦学习框架使用了激励机制                                 [3] 对参与
                 者进行奖励, 其中服务器会根据各参与者的本地模型梯度、训练数据量等信息来评估其贡献大小并给予相应的激
                 励. 公平合理的激励机制能够帮助提高参与者的参与水平, 减少低价值数据对模型的影响, 从而得到更好的联邦学
                 习成果.
                    目前在联邦学习相关的研究工作中, 激励机制的设计已有了大量的研究成果, 同时在其攻击防御领域也开展
                 了广泛的研究工作. 现有的联邦学习攻击方法的研究工作主要分为两大类: 针对数据隐私的推理攻击与损害系统
                 鲁棒性的投毒攻击. 相应地, 防御方法的研究也主要针对这两类攻击, 例如为了防止恶意参与者上传劣质的或是具
                 有破坏性的模型梯度来影响最终模型的质量, 联邦学习通常会采用一定的防御机制来对参与者上传的模型梯度进
                 行检验, 只有通过检验的梯度才会被用于全局模型更新                  [4,5] , 或者调整全局模型更新算法来降低恶意参与者上传的
                 模型梯度对全局模型的影响          [6−8] . 然而, 在现有的联邦学习攻击防御的研究工作中, 很少有考虑到参与者针对激励
                 进行的攻击行为. 例如, 恶意参与者在不降低模型梯度质量的基础上适当修改模型相关信息, 可以在通过现有防御
                 机制的情况下提高其所获激励, 一定程度上也对联邦学习系统进行了破坏. 为此, 本文对联邦学习中参与者的激励
                 欺诈攻击行为进行了研究, 定义了激励欺诈攻击问题: 在满足联邦学习系统对本地梯度精度要求的前提下, 参与者
                 为了获得更高的激励在其可接受的攻击计算代价下对要上传的本地模型信息进行处理. 基于此, 使用同时考虑了
                 攻击激励和计算成本的激励成本比可以帮助评估激励欺诈攻击方法的优劣和防御方法的有效性.
                    联邦学习中, 服务器会对各参与者的贡献进行评估并给予相应的激励, 目前主要基于参与者的本地模型梯度、
                 训练数据量等信息, 通过计算不同联合模型在系统测试集上的准确率、损失函数值等数据来评估各参与者的贡献
                 大小, 其中本地模型梯度是影响参与者所获激励的关键因素. 基于此, 本文提出了一种针对模型梯度进行攻击的激
                 励欺诈攻击方法——梯度放大攻击            (gradient scale-up attack, GSupA). 攻击者在已知联邦学习系统所采用的激励分
                 配机制和防御机制的前提下, 计算获取相应的放大因子, 并使用该放大因子对本地模型的全部或部分网络层的梯
                 度进行放大处理来提高其对全局模型的影响                [9] , 从而在一定的计算代价下大幅提升所获激励, 满足激励欺诈攻击
                 的要求. 这一欺诈攻击方法与现有模型梯度攻击的攻击方式相似, 都是通过修改模型梯度进行攻击, 但与现有的模
                 型梯度攻击不同的是, 该方法并不关心上传的模型梯度是否会影响聚合后得到的全局模型性能, 其目的为攻击联
                 邦学习的激励机制, 获得更多的激励效益.
                    由于两种攻击的攻击目标不同, 所以传统模型梯度攻击                   (包括后门攻击) 的防御机制无法有效防御激励欺诈
                 攻击. 现有防御机制针对的是影响模型性能的投毒攻击, 在进行梯度检验和削弱梯度影响时针对的是会影响模型
                 性能的梯度, 而激励欺诈攻击可以上传不会影响模型性能的梯度, 也就无法被现有的防御机制检测出来, 因此需要
                 设计针对性的防御机制来有效防御激励欺诈攻击. 针对上述提出的激励欺诈攻击方法, 本文同时设计了相应的防
                 御方法. 梯度放大攻击的核心思想是放大模型梯度来提高贡献, 而放大梯度也会使其二范数值                              (L 2 -norms) 明显变

                 大, 因此可以将梯度的      L 2  值作为系统的模型检验值来进行欺诈攻击防御. 服务器会在联邦学习的每一轮对各个参
                                                                         L 2  值过高的梯度. 该防御方法不需要参与
                 与者上传的本地模型梯度计算相应的             L 2  值, 并在全局模型更新阶段忽略
                 者上传其他额外的信息且计算简单, 同时能够有效地识别出放大的模型梯度, 从而防止梯度放大攻击.