赵亚茹 等: 云边联邦学习系统下抗投毒攻击的防御方法                                                      4251


                 introduces  a  contribution  metric.  In  this  way,  FedDiscrete  can  penalize  potential  attackers  by  allocating  updated  global  rankings.  Extensive
                 experiments  demonstrate  that  the  proposed  method  exhibits  significant  advantages  and  robustness  against  poisoning  attacks,  and  is
                 applicable to both independent and identically distributed (IID) and non-IID scenarios, providing protection for CEFL systems.
                 Key words:  federated learning (FL); poisoning attack; defense strategy; discrete update space; cloud-edge-client architecture

                    随着机器学习      (machine learning, ML) 的快速发展, 终端设备产生的数据呈现爆发式增长的趋势, 这就对数据
                 的优化和高效的处理提出了新的要求. 在这个背景下, 云边端架构                    [1,2] 受到了学术界的广泛关注和探索, 这是因为
                 其结合了边缘计算能够将计算和存储资源分布在靠近数据源头处执行计算任务的位置优势和云计算能够提供充
                 足的计算和存储资源的优势, 实现数据计算、存储和通信效率之间的权衡. 鉴于终端和边缘计算设备收集的数据
                 包含各种隐私信息, 为了避免隐私泄露, 联邦学习              (federated learning, FL) [3,4] 作为一种分布式的  ML  范式, 逐渐成为
                 高效建模和隐私敏感的云边缘应用场景的一种有吸引力的技术. 图                      1  展示了云边缘环境下的联邦学习框架           (cloud-
                 edge FL, CEFL). CEFL  跨云服务器、边缘服务器和终端设备实现训练一个高质量的联邦模型的目标. 不同于集中
                 式学习框架, 在    FL  辅助的云边缘计算中, 其能够将训练模型卸载到多个边缘服务器以执行边缘聚合并获得边缘
                 模型, 进一步地, 上传边缘模型到云服务器执行全局聚合, 以训练一个共享的全局模型, 该过程只传输模型参数, 从
                 而降低用户隐私泄露风险.

                                                                        上传 (攻击者)
                                                    联邦多数投票
                                                                        上传
                                                                        分发
                                              云服务器
                                                                        执行聚合
                                                       G
                                                 W Edge
                                                       联邦多数投票

                                                            …
                                                 边缘服务器 1         边缘服务器 E


                                                W Edge
                                          W 1             W 2




                                                                       …
                                                                                p
                                                                                k
                                                         2
                                    客户端 1                客户端 2                 攻击者
                                                      图 1 CEFL  框架

                    然而, CEFL  的分布式架构及固有的脆弱性          [5] 使其易于遭受潜在的安全威胁. 一方面是因为边缘环境下设备的
                 多样化和计算节点的异构性导致安全防护能力较弱的节点易于面临恶意攻击; 另一方面, 良性客户端很容易受恶
                 意攻击者的干扰, 比如, 攻击者利用上传的模型参数恢复原始数据的统计特征, 导致隐私泄露, 或者攻击者在本地
                 数据集中注入恶意样本        (操纵标签向量或输入矩阵), 干扰联邦模型收敛或使其发生偏离. 这些脆弱性对许多安全
                 领域带来严重威胁, 比如, 工业物联网          [6] 、自动驾驶  [7] 和视频识别  [8] 等. 例如, 针对交通标志的投毒将会干扰自动驾
                 驶汽车正确识别标志, 进而增加事故发生的风险.
                    在本文中, 我们集中于数据投毒攻击, 攻击者发起投毒攻击的核心思想是利用                         CEFL  系统的脆弱性诱使全局