Page 366 - 《软件学报》2025年第5期

P. 366

2266 软件学报 2025 年第 36 卷第 5 期

行激励分配时, 各个参与者之间的梯度存在牵制影响, 尤其是在 Refiner 激励机制下, 每一轮服务器提供的激励固
定, 各参与者根据贡献瓜分激励, 当其他参与者的贡献提高时, 该参与者的贡献占比就会降低, 能分到的激励也就
因此减少.

250
80 Refiner Refiner 2 500
FLDetector FLDetector
60 Trimmed-Mean 200 Trimmed-Mean
FLTrust FLTrust 2 000
40 Krum 150 L 2-norms
L 2-norms 100
R 20 GR (%) GR (%) 1 500
0 50
1 000
−20 0
−40 −50 500
0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9
Non-IID程度 Non-IID程度 Non-IID程度
(a) 攻击总体激励成本比 (b) 攻击总体激励增长率 (c) 攻击总体激励增长率 (Krum)
图 1 使用 MNIST 在 Refiner 激励机制和不同防御机制的情况下, 数据 Non-IID 程度对梯度放大攻击的影响

14 100
0.50 Refiner
12 GTG-Shapley
0.45 80
10
0.40 60
8
R R GR (%)
6 0.35 40
4 0.30
20
2
0.25
0
1 2 3 4 1 2 3 4 1 2 3 4
恶意参与者数量恶意参与者数量恶意参与者数量
(a) 攻击总体激励成本比 (Refiner) (b) 攻击总体激励成本比 (GTG-Shapley) (c) 攻击总体激励增长率
图 2 使用 FashionMNIST 在 Refiner 防御机制和不同激励机制的情况下, 恶意参与者数量对梯度放大攻击的影响

图 3 展示了在不同防御机制下放大不同的网络层梯度对梯度放大攻击的影响, 图中横坐标的正数代表着从第
一层开始放大的网络层数, 负数代表着从最后一层开始放大的网络层数, 例如 4 指的是只放大前 4 层网络层梯度.
从图中可以得出如下观察结果: 首先, 除 FLTrust 外在其他防御机制下, 放大 VGG16 微调模型所有的网络层梯度
得到的总体激励成本比和总体激励增长率都是最高的, 即欺诈攻击效果最佳. 其次, 在 FLTrust 防御机制下, 放大
所有网络层梯度无法提高激励, 需要放大部分网络层梯度才能够提高所获激励, 攻击成功.

60
400
40
300
FLTrust
20 Refiner
R GR (%) 200 FLDetector
0 Trimmed-Mean
Krum
100
−20 FLTrust
Refiner
−40 FLDetector 0
Trimmed-Mean
Krum
−14 −10 −6 −2 2 6 10 14 −14 −10 −6 −2 2 6 10 14
放大网络层数放大网络层数
(a) 攻击总体激励成本比 (b) 攻击总体激励增长率
图 3 使用 CIFAR10 在 Refiner 激励机制和不同防御机制的情况下, 放大网络层数对梯度放大攻击的影响

361 362 363 364 365 366 367 368 369 370 371