赵亚茹 等: 云边联邦学习系统下抗投毒攻击的防御方法                                                      4263



                     76                   70                    76
                                                                                     60
                     75                   60                    74                   50
                                          50
                    Acc (%)  74          ASR (%)  40           Acc (%)  70          ASR (%)  40
                                                                72
                                                                                     30
                     73
                                          30
                     72                   20                    68                   20
                                                                66
                                          10                                         10
                     71                                         64
                       10  20   30   40     10   20   30   40     10  20   30   40     10   20   30  40
                             b (%)                 b (%)                b (%)                b (%)
                            (a) Acc              (b) ASR               (c) Acc              (d) ASR
                                              Ours  FedAvg  MKrum  Median  FoolsGold
                                     图 5 不同防御算法在       CIFAR-10  数据集下的   Acc 和  ASR 比较

                                                       b 的增加, FedDiscrete 防御模型在   non-IID  场景下均获得了最高
                    我们注意到, 在所有比较的防御方法中, 随着
                 的   Acc  和最低的  ASR, 表现出最好的防御性能. 例如, 在       b = 40%  时, FedDiscrete  实现了  ASR 27.60%, 明显低于
                 FedAvg, MKrum, Median  和  FoolsGold  防御所获得的  ASR, 分别为  52.40%, 61.80%, 58.00%  和  57.10%, 类似地  Acc.
                 而且, 在  IID  场景下, FedDiscrete  仍然获得了较好的防御效果, 除了在        b = 30% 时, FedDiscrete  有第  2  好的  ASR
                 20.60%, 略高于  FoolsGold  防御实现的  ASR 16.90%, 仅增加了  3.70%, 在这种情况下, 即使从     b = 10% 到  b = 40%,
                                   ASR, 仅浮动了             Acc 浮动了  0.94%.
                 我们的防御方案实现了                    16.20%, 以及
                    而且, 从图   5(a) 和  (d) 中也可以观察到, 无论是在     IID  还是  non-IID  场景下, MKrum  均获得了最差的   Acc 和
                 ASR, 因此, 我们可以视为     MKrum  在防御数据投毒攻击方面不是有效的. FedAvg            和  Median  在  IID  场景下实现了
                             ASR 明显弱于我们的防御方案. 在这          4  种对比的防御方法中, FoolsGold     在  IID  场景下表现最好,
                 相当的结果, 但
                                         ASR, 略优于  FedDiscrete 方法, 然而, FoolsGold  在  non-IID  场景下表现出较差的
                 且在  b = 30% 时实现了较低的
                 防御效果, 这表明     FoolsGold 在检测并应对投毒攻击方面可能不是可行和有效的. 综上可知, 结果表明                     FedDiscrete
                 在抵抗投毒攻击方面具有一定的有效性, 同时也反映出兼顾攻击者搭便车以及采用离散更新空间实施防御的策
                 略是可行和有效的, 这也进一步强调了第             4.2.2  节中的结论. 此外, 这个结果也支持了我们在第            4.2.2  节中的推测.

                 4.2.4    不同攻击者数量下的评估
                    在不同的攻击者占比   (                     40%) 下, 我们首先展示了      IID  场景下  FedDiscrete  在  MNIST  和
                                     b 10%, 20%, 30%  和
                 CIFAR-10  数据集上的防御性能, 并采用        Acc Cpre Crec F1 和  ASR 指标进行评估. 值得注意的是, 本节引入了
                                                    ,
                                                              ,
                                                         ,
                                                 ,
                 b = 0 的情况作为对比基准, 并使用       Cpre tc Crec tc  和  F1 tc  指标集中于评估目标标签的测试性能.
                    对于  MNIST, 如图  6(a) 所示, 随着  b 的增加, 目标标签的类精度       (Cpre tc ) 和类召回率  (Crec tc ) 明显下降,  Acc 和
                               30% 时出现反向增长, 主要原因在于每一轮随机选择的攻击者并非相同, 局部模型训练受到不
                 F1 tc  在  b = 20% 和
                 同程度的攻击影响, 使得每一轮的离散更新空间及参与者的贡献度存在差异. 尽管                          b 不断增加, 但   FedDiscrete 仍
                 然实现了    90%  以上的   Acc Crec tc  和  F1 tc , 特别地, 除了在   b = 40% 时实现了  Cpre tc  88.00%, 其表现出同样的性能.
                                     ,
                 同时可以观察到, 不同      b 下实现的   Acc 均弱于没有发起投毒攻击        (b = 0) 的情况下所获得的    Acc 97.83%.


                     100
                                                  70                          20   MNIST
                                                                                   CIFAR-10
                    Metric results (%) 98  Acc   Metric results (%)  60  Acc  ASR (%)  15
                                                  65
                                                                                   Fashion-MNIST
                     96
                     94
                                                  55
                                                                     Cpre tc
                                                                              10
                                                  50
                     92
                                                                     Crec tc
                                                  45
                          Cpre tc
                     90
                          Crec tc
                                                  40                 F1 tc     5
                     88   F1 tc                                                0
                                                  35
                        0    10   20   30   40       0   10   20   30   40       10    20     30    40
                                 b (%)                       b (%)                        b (%)
                               (a) MNIST                   (b) CIFAR-10                  (c) ASR
                                                           b 下的指标对比
                                                  图 6 不同