Page 365 - 《软件学报》2025年第5期
P. 365
乐紫莹 等: 基于梯度放大的联邦学习激励欺诈攻击与防御 2265
总体激励成本比和总体激励增长率 (%) 的实验结果. 根据实验结果, 可以有如下结论. 首先, 无论是使用 Refiner 的
激励分配机制, 还是使用 GTG-Shapley 进行贡献评估, 在多种现有的防御机制下, 本文所提出的梯度放大攻击能够
在合理的攻击计算代价下明显提高参与者的所获激励, 获得相应的激励成本比. 第二, 梯度放大攻击在仅有一位参
与者实施攻击的情况下能够帮助提高激励, 获得一定的激励成本比. 第三, 梯度放大攻击在 Krum 下得到的总体激
励增长率比其他聚合算法的普遍要高. 第四, 在 Refiner 和 GTG-Shapley 两种激励机制下获得的总体激励成本比相
差极大, 这是由两个激励机制采用的激励分配方式的不同导致的, Refiner 中每轮的总激励是固定的, 参与者根据
其贡献占所有参与者贡献之和的比例瓜分总激励, 其所获激励与贡献值和设置的总激励相关, 而 GTG-Shapley 下
参与者的所获激励等同于其贡献值, 即仅与贡献值相关. 第五, 梯度放大攻击无法在本文提出的基于 L 2 -norms 的
L 2 值无法通过检验, 参与者无法分配到激励, 因此攻击后的激励反
模型评估机制下攻击成功, 由于梯度放大后的
而下降, 得到的总体激励成本比小于 0, 无法满足攻击要求.
表 2 在不同的激励机制、防御机制下训练不同的数据集进行梯度放大攻击的实验结果 (IID)
Refiner GTG-Shapley
防御机制 数据集
R GR (%) R GR (%)
MNIST 27.42 38.12 0.60 83.2
Refiner FashionMNIST 14.35 51.45 0.43 110.3
CIFAR10 7.23 10.6 0.33 122.1
MNIST 21.63 29.8 0.63 92.5
FLDetector FashionMNIST 17.87 63.3 0.54 135.8
CIFAR10 29.06 42.4 0.35 132.2
MNIST 16.41 2 491.0 0.53 193.0
Krum FashionMNIST 19.42 425.6 0.10 42.9
CIFAR10 53.89 425.9 0.54 166.6
MNIST 27.73 40.6 0.20 29.0
Trimmed-Mean FashionMNIST 8.61 30.9 0.08 20.3
CIFAR10 25.35 35.6 0.18 67.3
MNIST 59.94 159.3 0.16 55.7
FLTrust FashionMNIST 41.43 208.2 0.15 86.7
CIFAR10 53.36 79.0 0.01 6.9
MNIST −40.41 −55.9 −0.38 −54.9
L 2 -norms FashionMNIST −6.64 −23.7 −0.19 −46.5
CIFAR10 −62.86 −92.1 −0.24 −90.0
5.3 参数影响分析
为了充分探讨本文提出的方法受各参数的影响状况, 分别在不同条件下进行实验来检验分析不同参数对攻击
方法和防御方法的影响.
图 1 展示了在不同防御机制下参与者持有数据的 Non-IID 程度对梯度放大攻击的影响. 首先, 除 Krum 外在
其他现有防御机制下, Non-IID 程度增大, 梯度放大攻击所获的总体激励成本比减少, 直到总体激励成本比减少至
接近 0 后会在 0 左右波动. 其次, 由于使用不同 Non-IID 程度的数据在无欺诈攻击的情况下进行联邦学习得到的
诚实激励不同, 存在 Non-IID 程度变化后总体激励成本比变动与总体激励增长率变动完全相反的情况, 例如, 在
FLTrust 机制下, Non-IID 为 0.3 与 0.1 的相比较, 攻击总体激励成本比降低, 但是总体激励增长率反而有所提高.
最后, 在基于 L 2 -norms 的防御机制下, 使用不同 Non-IID 程度的数据进行欺诈攻击得到的总体激励成本比和总体
激励增长率都低于 0, 无法满足攻击要求.
图 2 展示了在不同激励机制下实施攻击的恶意参与者的数量对梯度放大攻击的影响, 图中的攻击总体激励成
本比和攻击总体激励增长率皆为所有恶意参与者获得的相应值的均值. 从图 2 中可以得到, 在两种激励分配机制
下, 恶意参与者的数量越多, 每个攻击者平均得到的攻击总体激励成本比和总体激励增长率都越低, 这是由于在进
