赵亚茹 等: 云边联邦学习系统下抗投毒攻击的防御方法                                                      4253


                    (3) 面对多样化的攻击能力和不同的应用场景              (独立同分布    (IID) 和非独立同分布    (non-IID)), 如何保持防御算
                 法的高效性和鲁棒性? 一方面, 机器学习模型参数量大和维度高的特点造成的计算代价和通信开销不可忽视; 另
                 一方面, 目前大多防御方法是面向           IID  场景, 而在  non-IID  场景下的性能较弱, 甚至不适用于       non-IID  场景. 因此,
                 如何确保在不同的攻击场景下, 尽可能地降低              FL  任务执行过程所需的通信开销也是一大挑战.
                    为了应对上述挑战, 本文提出了一种面向              CEFL  系统的防御方法     FedDiscrete (federated discrete). 其动机是攻
                 击者发起投毒攻击的基本实践: 修改样本源标签为目标标签, 注入投毒样本到本地数据集中, 干扰客户端本地训练
                 并试图从中获益, 从而导致攻击者和良性参与者构建的离散更新空间存在明显差异. 因此, FedDiscrete 的关键思想
                 是首先计算每个参与者的贡献度, 在保证客户端之间公平性的同时也尽可能保留本地关键特征. 在此基础上, 本文
                 基于每个客户端的本地模型连接边的分数排名来创建离散更新空间, 在边缘服务器和云服务器端采用多数投票聚
                 合机制, 并通过迭代更新全局排名的方式来限制攻击者选择恶意更新的范围, 进而缓解投毒攻击的影响并增强防
                 御鲁棒性. 同时, 为了降低训练过程的计算代价和通信开销, 进一步引入稀疏化策略, 以减少神经网络的参数数量
                 并降低模型复杂度.
                    本文第   1  节介绍现有对抗联邦学习投毒攻击的防御方法和研究现状. 第                    2  节介绍威胁模型和防御能力. 第        3
                 节介绍本文提出的       FedDiscrete 防御的设计细节并给出讨论. 第       4  节进一步设计广泛的实验并进行评估和讨论. 最
                 后, 第  5  节总结全文.

                 1   联邦学习投毒攻击与防御相关工作

                    防御机制是规避       FL  系统遭受投毒攻击的重要手段. 现有防御方法的探讨主要包括以下                    4  类: (1) 直接检测客
                 户端属性或模型更新. 例如, 受进化聚类的启发, Shi 等人             [21] 在服务器端通过比较两轮之间的检测结果来识别可能
                 的恶意客户端, 以缓解攻击影响. Zhang        等人  [17] 提出了  FLDetector 框架, 通过评估客户端本地模型在多次迭代中的
                 更新方向与服务器预测的模型更新方向之间的一致性来检测恶意客户端. 而且, Zhao                        等人  [22] 首先分析了多标签翻
                 转攻击方法带来的影响, 进一步提出一种根据投毒样本和干净样本所训练的梯度特征之间的差异识别恶意攻击者
                 的防御方法. Ben Saad  等人  [9] 提出了另一种框架, 其首先使用深度强化算法并基于声誉值动态地选择网络切片作
                 为可信参与者, 进一步利用无监督           ML  识别投毒模型更新, 以自动检测         FL  过程中的恶意参与者, 从而保障零接触
                 B5G  网络中  FL  安全. 类似地, Al-Maslamani 等人  [23] 引入声誉概念来度量每个客户端的可信赖性, 进一步采用基于
                 深度强化学习的深度确定性策略梯度算法               (DDPG) 来提升   FL  模型准确度和稳定性, 结果表明其性能优于基于深
                 度  Q  网络的声誉方法    (DQN) [24] . Liu  等人  [25] 利用多权重主观逻辑模型  (SLM) 直接从交互历史中计算候选客户端
                 的声誉值, 间接从其他服务器推荐的声誉意见中计算. 此外, Cao 等人                [10] 开发了一种拜占庭鲁棒的防御方法         FLTrust,
                 通过比较客户端本地更新与服务器端训练的模型更新方向之间的差异, 给本地更新分配相应的信任分数, 进而限
                 制攻击者利用本地模型更新制造的恶意影响. 后来, Han               等人  [11] 探讨了  IID  设置下模型是否投毒与其在干净数据
                 集上训练的损失是否符合正态分布之间的关系, 基于此, 提出了一种防御方法                         ND_defense, 其主要是通过计算每
                 个客户端模型的损失来检测并移除异常的客户端模型. 然而, 上述两种方法均假设服务器拥有一个干净数据集.
                 (2) 鲁棒性训练. 例如, Zhao  等人  [12] 设计了一种客户端交叉验证的防御方案以检测异常更新, 也提出一种动态分配
                 客户端的机制, 将检测任务分配给最合适的客户端, 以解决不适用                     non-IID  设置的问题. 然而, 该检测方法成本较
                 高, 不适合部署在边缘节点上. 之后, Kumar 等人           [13] 提出了一种对抗模型投毒攻击鲁棒的防御机制               FedClean,
                 该方法包含一个信誉机制以追踪每个代理的可信度并选择可信赖的代理执行模型训练, 以及一个更新质量控制机
                 制来检测恶意更新. 基于样本重用的思想, Wang             等人  [26] 提出了有限聚合策略以缓解投毒样本造成的影响并提高
                 防御的鲁棒性. Zhang    等人  [14] 提出了聚合方法   SAFELearning, 通过划分客户端为多个子组执行聚合并比较全局模
                 型之间的差异, 移除超出阈值的子模型, 实现防御后门攻击并保护                    FL  场景隐私. 特别地, Mozaffari 等人  [27] 提出了
                 联邦秩学习方法      (FRL), 旨在通过稀疏化客户端的更新空间来协同训练一个全局模型并提高                       FL  对投毒攻击的鲁
                 棒性, 但这个方法集中于探讨无目标投毒攻击且忽略了参与者可能搭便车的情况. (3) 对抗性训练. 比如, Zhang                           等
                 人  [28] 分析了基于生成对抗网络     (GAN) 的投毒攻击, 攻击者通过训练         GAN  生成近似训练数据集的样本, 进而生成