一种抗投毒攻击的联邦学习聚合方法.pdfVIP

技术方案

TechnologyScheme数据通信2025(2)

一种抗投毒攻击的联邦学习聚合方法

缪祥华2弓王欣源

张世奇黄

黄明巍张世杰

（1.昆明理工大学信息工程与自动化学院650500;

云南昆明

2.云南省计算机技术应用重点实验室云南昆明650500）

摘要：联邦学习，作为打破数据孤岛、保护用户隐私的关键技术，已受到业界的高度关注。然而，由于其结构

特性,联邦学习易遭受投毒攻击。本文旨在提出一种针对联邦学习模型投毒攻击的防御方法，该方法主要依托远

程客户端模型的局部密度差异，作为评估模型恶意程度的指标。依据恶意程度，筛选并排除可疑模型，再将所有正

常模型聚合为全局模型。与传统的二分类方法不同，该方法基于模型参数的局部特征来评估模型的恶意程度，显

著提升了防御效能。为验证该防御方法的有效性，我们在真实数据集上进行了大量实验。实验结果表明，本文提

出的算法能够有效抵抗投毒攻击，保障联邦学习系统的安全稳定。

关键词：联邦学习；投毒攻击；防御方法；隐私保护

中图分类号：TP399文献标识码：A

0引言到中央服务器。中央服务器对接收到的模型参数进行

人工智能作为引领新一代产业革命的新兴技聚合，生成全局模型后返回给各客户端，客户端进行模

术,其核心原理在于从海量数据中获取信息。因此，人型更新后继续在本地进行训练，直至模型收敛。

工智能的发展离不开大量数据的支撑。然而,海量数由于系统的分布式特性以及训练数据的不透明

据的使用则不可避免地会触及到用户的敏感信息[2]，性，联邦学习系统极易遭受投毒攻击。攻击者可通过

这就使得传统人工智能面临隐私泄露和信任危机等问操控恶意客户端向中央服务器上传恶意参数，以此来

题[3]。随着人们隐私意识的增强和法律法规地不断完破坏全局模型[。无论是在训练数据中加人扰动，

善[4],这使得通过收集大量数据进行集中式学习的方还是在局部模型参数中进行投毒[10],均会对联邦学习

式受到了很大的限制。此外,由于基础设备的制约,传系统造成严重破坏。例如，通过修改训练数据标签实

统的人工智能难以实现任意部署[5]。联邦学习作为一施的标签反转攻击[I和上传任意参数的拜占庭攻

种新兴的分布式机器学习框架，通过聚合各用户参数，击[12-13]等。因此,深人研究联邦学习系统抵抗投毒攻

而非直接使用用户训练数据，有效保护了用户隐私的击的方法显得尤为重要。

训练数据[],同时也降低了对设备的要求。联邦学习尽管当前的研究已经提出多种防御方法,但这些

不仅能够保证数据不出本地,而且显著提升了模型的方法在某些方面还需进一步优化。基于拜占庭容错的

性能[7],因此应用广泛。联邦学习系统主要由两个主防御方法主要通过开发安全聚合规则来降低恶意客户

体部分构成：远程客户端和中央服务器。远程客户端端带来的影响。相较于FedAvgl]将模型参数求平均值

独立地训练局部模型,并将训练所得的模型参数上传的方法,Coordinate-WiseMedian和Coordinate-Wise

26

技术方案

2025(2)TechnologyScheme

数据通信

TrimmedM