赵亚茹 等: 云边联邦学习系统下抗投毒攻击的防御方法                                                      4267


                 果表明   FedDiscrete 利用离散更新空间在     PathMNIST  数据集上实施防御仍然是有效的. 同时, 我们也使用              Cpre tc ,

                 Crec tc  和  F1 tc  指标来进一步验证  FedDiscrete 在子任务  (目标标签类“0”) 上的测试性能. 从图   10  中可以看到, 在不
                                                              ,
                 同的  b 值下, FedDiscrete 在子任务上均实现了较高的       Cpre tc Crec tc  和  F1 tc , 且均高于  85.00%, 除了当  b = 40% 时获
                 得了  Cpre tc  79.20%. 特别地,   F1 tc  在  b = 20% 和  b = 30% 时出现了反向增长, 我们分析可能的原因是, 当攻击者的
                 数量增加到一定程度时, 投毒行为将更易于被检测. 综上, 结果例证了我们的防御方法                          FedDiscrete 在抵抗目标投
                 毒攻击方面具有较强的鲁棒性, 也进一步表明              FedDiscrete 方法适用于分布式的云边缘计算场景.
                    总体来看, 我们的     FedDiscrete 防御在  MNIST, CIFAR-10  和  PathMNIST  数据集上总是表现出较好的性能. 我
                 们认为少数的恶意攻击者对目标标签的干扰是微弱的, 这也突出                     FedDiscrete 优先捕捉更健壮的参数特征实施防
                 御的必要性. 此外, 上述实验进一步例证了            FedDiscrete 引入参与者贡献度到离散更新空间的策略是有效的, 且适
                 用于  IID  和  non-IID  场景并表现出显著的优势, 这充分表明该策略能够作为一个有效的基准防御投毒攻击, 并为
                 CEFL  系统下执行   FL  任务的过程移除更多的恶意攻击者和恶意更新, 以增强系统安全性.

                 4.2.6    计算代价和通信开销
                    最后, 我们讨论并评估了在         CEFL  系统下  FedDiscrete 防御算法的计算代价和通信开销. 我们方案的局限性主
                 要体现在客户端求解参与者贡献度及创建离散更新空间的计算成本, 上传客户端本地排名到边缘服务器及云服务
                 器的通信开销, 边缘端和云端执行多数投票聚合的计算成本这                     3  个方面, 详细介绍展示在第       3.3  节. 注意到, 对于
                 每个客户端而言, 其计算成本和通信开销与全局迭代轮数是线性的.
                    此外, 我们在    MNIST, CIFAR-10  和  PathMNIST  数据集下运行了实验以评估我们的防御方案在不同攻击场景
                 下的计算代价和通信开销, 结果展示在表             8. 注意, 实验结果展示了一个通信轮的情况. 就计算代价而言, 从表                 8  中
                 可以看到   3  种数据集下均获得了较低的结果, 具体地, 比较             MNIST, 在  IID  场景下, CIFAR-10  和  PathMNIST  均需
                 要更长的时间, 这主要是由于越复杂的输入数据的特性和网络结构将迫使客户端本地训练及服务器端的聚合操作
                 消耗更多的时间, 比如, 需要花费更长的时间计算本地边排名, 类似地, 在                    non-IID  场景下的  CIFAR-10  数据集. 而
                 且, 可以注意到, 当采用特定数据集训练本地模型并上传离散更新空间后, FedDiscrete 防御的计算代价几乎不受攻
                 击场景的干扰. 就通信开销而言, 我们发现            MNIST, PathMNIST  和  CIFAR-10  数据集之间存在一定的差异, 这主要
                 依赖于   CIFAR-10  具有更复杂的图像模式以及采用包含更多参数的               Conv8  网络结构的事实, 从而导致模型训练和
                 特征学习相对困难. 进一步地, 可以发现通信开销与攻击场景之间没有直接的关联, 这是因为通信开销主要取决于
                 模型的结构和大小, 越大的模型需要上传更大维度的离散更新空间到服务器端. 具体而言, 在                            MNIST, PathMNIST
                 和  CIFAR-10  数据集下, 我们的防御方案能够实现平均每个客户端的通信开销仅为                     3.175M, 3.157M  和  10.304M,
                 就我们所关心的而言, 即防御抵抗          CEFL  系统下的投毒攻击, 这是完全可行的. 结果表明我们的防御方法能够在不
                 牺牲联邦模型准确性的前提下, 花费较小的计算成本和通信开销.


                                            表 8 FedDiscrete 的计算代价和通信开销

                                指标            场景          MNIST       CIFAR-10      PathMNIST
                                               IID         2.699        8.551         7.341
                             计算代价 (s)
                                             non-IID       3.112        8.584          －
                                               IID
                             通信开销 (M)                      3.175        10.304        3.157
                                             non-IID


                 5   总 结
                    在本文中, 我们探索了       CEFL  系统所面临的投毒攻击问题, 提出了一种防御机制               FedDiscrete. 其关键思想是构
                 建离散更新空间, 实现对攻击者选择更多模型更新的限制. 基于此, 我们在客户端依赖于网络模型连接边的分数来
                 计算每个客户端的本地排名, 以搜索子网络模型、实现离散更新空间的创建并降低通信成本. 此外, 我们在客户端
                 引入了贡献度指标来评估每个参与者的真实贡献大小, 尽可能避免攻击者搭便车的情况. 通过这样做, 不仅削弱了