DAGUARD：联邦学习下的分布式后门攻击防御方案_余晟兴.pdf

资源描述

1、2023 年 5 月 Journal on Communications May 2023 第 44 卷第 5 期通信学报 Vol.44 No.5DAGUARD：联邦学习下的分布式后门攻击防御方案余晟兴1，陈泽凯2，陈钟1，刘西蒙2（1.北京大学计算机学院，北京 100871；2.福州大学计算机与大数据学院/软件学院，福建福州 350108）摘要：为了解决联邦学习下的分布式后门攻击等问题，基于服务器挑选最多不超过半数恶意客户端进行全局聚合的假设，提出了一种联邦学习下的分布式后门防御方案（DAGUARD）。设计了三元组梯度优化算法局部更新策略（TernGrad）以解决梯度局部调整的

2、后门攻击和推理攻击、自适应密度聚类防御方案（AdaptDBSCAN）以解决角度偏较大的后门攻击、自适应裁剪方案以限制放大梯度的后门增强攻击和自适应加噪方案以削弱分布式后门攻击。实验结果表明，在联邦学习场景下，所提方案相比现有的防御策略具有更好的防御性能和防御稳定性。关键词：联邦学习；分布式后门攻击；聚类；差分隐私中图分类号：TN92 文献标志码：A DOI:10.11959/j.issn.1000436x.2023086 DAGUARD:distributed backdoor attack defense scheme under federated learning YU Shengxi

3、ng1,CHEN Zekai2,CHEN Zhong1,LIU Ximeng2 1.School of Computer Science,Peking University,Beijing 100871,China 2.College of Computer and Data Science/College of Software,Fuzhou University,Fuzhou 350108,China Abstract:In order to solve the problems of distributed backdoor attack under federated learning

4、,a distributed backdoor attack defense scheme(DAGUARD)under federated learning was proposed based on the assumption that the server se-lected no more than half of malicious clients for global aggregation.The partial update strategy of the triple gradient op-timization algorithm(TernGrad)was designed

5、 to solve the backdoor attack and inference attack,an adaptive density clustering defense scheme was designed to solve the backdoor attacks with relatively large angle deflection,the adaptive clipping scheme was designed to limit the enhancement backdoor attack that amplify the gradients and the ada

6、ptive noise-enhancing scheme was designed to weaken distributed backdoor attacks.The experimental results show that in the federated learning scenario,the proposed scheme has better defense performance and defense stability than existing de-fense strategies.Keywords:federated learning,distributed ba

7、ckdoor attack,cluster,differential privacy 0 引言近年来，物联网和移动设备在移动通信领域有着广泛应用，并且在日常生活中也越来越普遍。由于其本地数据及算力极其有限，用户通常将数据和计算外包给云服务器集中处理。数据在外包计算的过程中面临隐私泄露的风险，因此联邦学习（FL,federated learning）应运而生。与传统的集中式深度学习不同，FL1允许客户端将数据集留在本地进行训练，本地训练后仅上传模型权重或梯度进行全局模型的训练，这种方法间接实现了不同客户端之间的协作学习，极大地降低了数据泄露的风险，节省了通信开销。随着新兴隐私保护法规的盛行，F

8、L因其能够潜在保护用户数据而受到了广泛的认可收稿日期：20230112；修回日期：20230412 通信作者：陈钟，项目基金：国家自然科学基金资助项目（No.62072109,No.62102422）Foundation Item:The National Natural Science Foundation of China(No.62072109,No.62102422)第 5 期余晟兴等：DAGUARD：联邦学习下的分布式后门攻击防御方案 111 和使用。例如，相关网站使用 FL 来实现信用风险预测2；在 Melloddy 项目中，10 多家领先的制药公司利用 FL 进行药物发现3；

9、Google 在 Android Gboard4上部署 FL 进行键盘输入联想预测，其中FedAvg1是由 Google 开发的一种流行的 FL 方案，该方案的全局模型更新为各客户端本地模型更新的加权平均值，权重为各客户端本地训练数据集的大小。FL 由于其分布特性，很容易受到恶意客户端对抗操纵的影响，恶意客户端可能是攻击者伪造的客户端或向攻击者妥协的真实客户端。恶意客户端通过毒化本地数据5-6或者篡改本地模型梯度进行中毒攻击7，进而损坏全局模型。被损坏的全局模型会将目标测试样本预测为攻击者选择的错误标签，而其他非目标测试样本将不受影响8-10。目前，在 FL 中普遍使用的 FedAvg 全局模

10、型聚合方式较脆弱，单个恶意客户端就可以采用多种攻击方式将其攻破11-12。近年来，FL 攻击已经受到广泛的讨论，如 FL容易受到后门攻击9-10,13以及推理攻击14-16的影响。后门攻击通过操纵模型更新或者梯度来影响全局模型，即攻击者选择的输入会导致全局模型预测错误。在推理攻击中，对手通过分析模型更新来学习客户端本地数据的信息。现有研究12-13,17-18致力于在少数恶意客户端并且服务器确保诚实的背景下增强 FL 的鲁棒性，例如，Blanchard 等12提出的Krum 方案在N个本地更新中选择与上一轮迭代更新距离最小的一个作为每次迭代的全局更新，然而，上述机制的一个主要缺点是只适用于诚实

11、客户端占绝大多数的情况；Median 方案11中，服务器选择所有上传的模型更新的中位数作为全局更新，但无法保证较高的准确率；Shen 等19提出的后门防御策略无法有效地抵御分布式后门攻击（DBA）9。FLAME 方案20虽然对后门攻击有较好的防御效果，但是由于其需要上传完整的模型，无法抵御推理攻击并且在某些数据集下防御稳定性较差。针对目前防御方法存在的问题，为有效保护联邦学习下的模型安全，本文提出了联邦学习下的分布式后门攻击防御方案（DAGUARD）。本文的主要贡献如下。1)为了防御推理攻击和对梯度局部调整的后门攻击，本文采用 TernGrad21的方式对神经网络每层的梯度进行 Ternari

12、ze 转换，即使用每层绝对值最大的梯度作为当前层的梯度。2)根据联邦学习下服务器每轮挑选不超过半数恶意客户端进行全局聚合的假设，利用基于密度的带噪声应用空间聚类（DBSCAN）22设计了自适应密度聚类方法。由于大多数的中毒模型梯度相比于良性模型梯度有较大的角度偏差，一个较好的聚类策略可以在很大程度上消除恶意客户端的攻击。FLAME 方案20采用的是 HDBSCAN（hierarchical DBSCAN）23聚类方法，其设置聚类数目上限仅为客户端数量的一半，聚类结果不够准确，无法有效剔除与良性梯度相近的恶意梯度。本文采用自适应中位数作为标准，动态调整 DBSCAN22领域半径进行相近恶意梯度后

13、门攻击的防御。3)本文基于 TernGrad 方法设计了自适应裁剪方案和自适应加噪方案。目前的 FLAME 方案20采用的裁剪方法是直接对梯度大小进行裁剪，恶意梯度可以通过适当缩放躲避裁剪，而本文方案是对各客户端每轮训练后的梯度经过 TernGrad 方法转换后进行裁剪，可以更好地削弱恶意客户端模型梯度的增强攻击。同时，采用差分隐私加噪的方式可以削弱联邦后门攻击，本文根据神经网络每层的最大梯度更新的第二范数计算出每层的高斯噪声，为每层神经网络添加自适应高斯噪声，平滑经过DBSCAN 聚类后的模型更新，有效减少后门攻击的影响。4)本文设计的 DAGUARD 方案在不同非独立同分布情况下均具有较好

14、的防御效果，且在不同数据集和数据投毒率下均有较高的防御稳定性，实验表明 DAGUARD 的防御效果优于目前主流的FedAvg、Median 以及 FLAME 方案。1 相关工作 1.1 聚类聚类24是一种无监督的机器学习算法，它将数据分成多个有意义的子组，这些子组使聚类后的簇内差异最小化，簇间差异最大化，目前常用的聚类算法大致可以分为四类：基于层次、基于分区、基于网格和基于密度。基于层次的聚类算法25是从最初的一些集群开始逐渐收敛的解决方案，其主要缺陷在于计算复杂度较高，并且如果数据存在奇异值，则会对聚类效果产生很大的影响。基于分区的聚类算法将数据集划分为初始 K 个聚类，并根据目标函数迭代

15、提高聚类质量，如 K-means26就是基于分区的聚类算法，而该类算法需要明确指定聚类数目且聚类效果受其影响较大。在基于网格的聚类算112 通信学报第 44 卷法27中，整个数据集被一个规则的超网格覆盖，同一个网格中的数据点被归为一簇。在基于密度的聚类算法22中，当区域内点的密度大于最小密度值时，该区域被称为密集区域或密度相连区域。由于基于密度的聚类算法基于密集连通性扩展集群，该类算法可以找到任意形状的集群。DBSCAN 就是基于密度的聚类算法，因此其可以对任意形状的稠密数据集进行聚类且可发现异常点。1.2 联邦学习假设有n个客户端，每个客户端都有训练数据集,1,iD in，协同训

16、练全局模型W。集中学习的本地数据集必须在训练前由中央服务器收集，而联邦学习6仅要求客户端将本地模型（|iw in）上传到服务器，在服务器上进行联邦聚合得到全局模型，表示为 11niiWwn(1)具体来说，联邦学习主要优化损失函数，表示为 1min()()niiikF wL wK(2)其中，()iL w和ik是损失函数和第i个客户端的本地数据集大小。1.3 分布式后门攻击分布式后门攻击9使用多个不同色彩或不同灰度的补丁作为触发器并将其分成几个部分，分别设置在不同的客户端上。不同于传统的集中式后门攻击，在分布式后门攻击中，每个恶意客户端会被分配后门触发器的一部分客户端进行协同攻击。如果指定触发部

17、分被中心服务器所学习，则该触发器被触发，后门攻击成功。独立的触发器的攻击强度相比于集中式触发器弱，具有更高的隐蔽性，其中分布式后门攻击将一个集中式攻击公式分解为M个分布式子攻击问题9，表示为 poicln11(,);argmax()iitijij Stiijjj SPGR x PGxy(3)其中，i表示第i个攻击者，1,iM，j表示第j个数据库，t表示第t轮次，P表示预测准确率，表示投毒间隔，G表示全局模型，D表示数据库，poiiS表示投毒数据库，clniS表示良性数据库且满足poiclniiiSSD以及poiclniiSS，函数R将任何类中的良性数据库转换为具有攻击者选择触发模式的投毒数据库

18、，参数i可被分解为触发位置、触发大小和触发间隙，表示中毒目标标签，ijy表示未中毒的标签。2 理论知识 2.1 DBSCAN DBSCAN22是基于密度的带噪声应用空间聚类，其根据密度的方差区分高维数据库的噪声。DBSCAN根据预先设定的超参数领域半径Eps和簇内最小样本数目MinPts，将数据点分为核心点、边界点以及噪声点。当某个数据点在Eps半径内至少包含了MinPts个数据点时，该数据点为核心点；当某个数据点的Eps半径内包含的数据点少于MinPts个且该数据点在其他核心点的领域半径内，则该数据点为边界点；既不是核心点也不是边界点的则是噪声点。数据点之间的距离关系可分为密度直达、密度可达

19、和密度相连。当数据点q是核心点时，数据点p在其Eps领域半径内，则p和q是密度直达的；当数据点p与数据点q之间存在一系列节点,ilqp，且对于任意的il到1il是密度直达时，则p对于q是密度可达的；当数据点p与数据点q的领域半径内存在核心点o，其对于p和q是密度可达的，则p与q是密度相连的。最终根据数据点之间的距离关系，将高密度区域聚成簇，并导出密度连接集合。2.2 TernGrad Wen等21提出的TernGrad采用三元组逐层量化以及梯度裁剪的方式提高联邦学习模型训练时的通信效率。在每轮迭代训练过程中，客户端数量为n，其中1,in，梯度数量为m，各本地量化后的局

20、部梯度为 ()()()()()Ternarizeiiiiitttttgsgbg(4)其中，缩放因子()()max absiittsg，max函数计算出所有元素的最大值，abs计算出当前元素的绝对值，1()()()(),im iitttitggbs，表示Hadamard乘积。TernGrad21主要更新变化幅度大的梯度元素，其收敛性已得到证明。针对不同客户端，计算不同的()its来保持各客户端的特征。第 5 期余晟兴等：DAGUARD：联邦学习下的分布式后门攻击防御方案 113 2.3 差分隐私差分隐私（DP）27是对抗敌方不同攻击的一种强标准，其具体定义如下。定义 1 相邻数据库。如果对于

21、2个数据库x,y，有11xy，那么数据库x和y称为相邻数据库28。定义 2 (,)DP 29。考虑2个相邻的数据集D和D，它们仅在一个数据样本中有所不同。对于任何确定性查询函数:MfD 和随机机制:MMO，Mf实现(,)DP 且输出的任何子集SO满足 Pr()Pre()Mf DMSSf D(5)其中，Pr为期望概率；为隐私预算，表示隐私保护程度；0,1为松弛因子，表示可容忍违背严格差分隐私的概率，主要通过加入高斯噪声来满足差分隐私。定义 3 高斯机制30。令(0,1)，对于任何函数f，定义算法()Mf xn，其中n遵守高斯分布2(0,)nN。当参数2fc时，算法()Mf xn满足(,)DP，其

22、中，常数 c 满足21.252lnc，|22,max()()x yff xf y，x和 y 表示相邻数据库。3 问题定义 3.1 攻击模型在典型的FL设置中，来自外部对手的威胁主要可以分为以下两类。1)试图向全局模型注入联邦学习后门的恶意客户端b。2)诚实且好奇的聚合器h，其能够遵循训练协议正确地执行计算，但会通过推理攻击31获取关于客户端的训练数据信息。b对c2nc个恶意客户端及其训练数据、模型参数等具有完全控制31，也对FL中聚合器的操作有充分的了解，可以随时在训练期间采取任意适当的攻击策略，例如，同时注入一个或者多个后门攻击，b也无法对其他诚实的客户端以及中心聚合器的执行过程进行操作。

23、h为遵循训练协议的半诚实攻击者，其可以访问所有本地模型iW 并对每个本地模型iW 进行模型推理攻击，以此提取客户端数据信息。3.2 攻击方式在分布式后门攻击中，由于触发器被分为多个并由不同的攻击者持有，各攻击者的后门触发器攻击能力不稳定，有时单个触发器无法直接改变预测结果12，但攻击的总体效果可以导致恶意梯度与良性梯度出现角度偏离或者幅度偏差，因此分布式后门攻击具有很高的隐蔽性，b设置的独立后门触发器具体的攻击方式如下。1)模型更新幅度偏差较大的恶意攻击。b设置的后门触发器对良性模型影响较大，导致恶意模型更新幅度远超过良性模型更新，以此来扩大恶意攻击。2)模型更新角度偏离较大的恶意攻击。b设

24、置的后门触发器从角度偏转对良性模型进行攻击，通过采用较大的毒化率或者大量的局部训练周期9来实现良性模型更新角度偏离较大的恶意攻击。3)模型更新具有较小的角度偏离和幅度偏差的恶意攻击。b通过限制训练和攻击规模来实现较小的角度偏离和幅度偏差的恶意攻击。3.3 防御目标在FL设置中，能有效解决分布式后门攻击的通用防御方案需要实现以下目标。1)主任务准确率高。必须保证全局模型的高准确率表现以维持其有效性。2)后门攻击成功率低。为了防止对手对目标的攻击，需要消除后门模型更新的影响，尽可能降低后门攻击成功率。3)防御稳定性。防御方案必须适用于通用的攻击模型，即不需要知道后门攻击方法的先验知识，并且在不同

25、数据集和不同条件参数下的防御表现较稳定。4 本文方案 4.1 方案描述本节描述了轻量级联邦学习下的分布式后门攻击高效防御方案（DAGUARD）的设计过程，如图1所示，恶意客户端通过对训练数据插入分布式后门触发器进行后门攻击，其中，attackg表示经过后门攻击后的梯度，g 表示良性客户端训练的局部梯度，G 表示经过后门防御后的全局梯度，目标标签表示后门任务将良性标签替换成的恶意标签。DAGUARD方案采用了TernGrad方法、自适应114 通信学报第 44 卷 DBSCAN聚类、自适应裁剪、自适应加噪策略来最大限度地筛选出恶意梯度，并且根据分布式后门攻击的特点进行防御，从而更加有效

26、地抵御分布式后门攻击。4.2 TernGrad 局部更新为提高防御模型的效率，避免梯度局部调整的后门攻击以及服务器的推理攻击，采用TernGrad方法21将本地更新后的梯度进行Ternarize转换。由于每层神经网络的模型梯度分布类似于高斯分布32，在每层进行Ternarize，选择每层中的最大梯度作为该层的梯度，可以最大限度地保留梯度更新的重要信息而不泄露完整的梯度信息，从而避免服务器受到推理攻击。TernGrad局部更新（TernGradUpdate）如算法1所示。算法 1 TernGradUpdate 输入所有客户端本地迭代轮次T，客户端数量n，客户端i 的第t轮更新权重itg，Te

27、rnGrad转换后的梯度ig，梯度ig的二范数ieg 输出最优局部模型iTW 1)for t in 1,T do 2)for iin 1,n do 3)1Model(Datasets,)iittgW/更新模型 4)Ternarize()iitgg/TernGrad转换 5)2()iiegg/计算梯度的二范数 6)发送ig,ieg到服务器 7)从服务器接收全局模型bg 8)1iittbWWg/更新模型 9)end for 10)end for 4.3 自适应DBSCAN 由于大多数的恶意梯度相比良性梯度有较大的角度偏离，首先采用聚类的方法剔除有较大角度偏离的恶意梯度，如图2所示。Blancha

28、rd等12和Ganju等15提出的基于聚类的防御策略将所有模型分为良性簇和恶意簇两类，但当聚类中不存在恶意模型时，该策略可能导致一部分良性模型被错误地删除，进而降低了模型的准确率。另外，Blanchard等12提出的方案允许偏转角度为090，在非独立同分布场景下大部分良性客户端将会被剔除。Ganju等15提出的方案在前10轮采用K-means聚类算法，其后的轮次通过与前10轮被剔除的特征进行比对来划分恶意模型与良性模型，这种做法容易将良性模型与恶意模型错误地划为同一簇中，无法将恶意模型从良性模型中分离，因此上述方案均无法抵御联邦学习下的分布式后门攻击。而FLAME方案20采用HDBSCAN聚类

29、方法，仅设置了簇内最小样本数量超参数，虽然根据梯度之间的余弦距离进行聚类，但若存在与良性梯度较接近的恶意梯度，该方法不考虑其是否应该被划分到其他恶意簇中，而是仅依据距离偏转聚集一定数量的梯度，无法针对性地约束聚类，得到的聚类有一定的不可控性，当恶意梯度临界于恶意簇与良性簇时，HDBSCAN无法准确地将恶意梯度划分到恶意簇。图 2 聚类分离恶意梯度与良性梯度图 1 DAGUARD 的设计过程第 5 期余晟兴等：DAGUARD：联邦学习下的分布式后门攻击防御方案 115 由于HBDSCAN无法有效应对恶意梯度既可以划分到良性簇又可以划分到恶意簇的情况，本文采用DBSCAN的密度聚类方式，根据

30、恶意客户端数量不超过2n 的假设，将数据点之间余弦距离的中位数作为Eps领域半径的阈值并将2n 作为MinPts簇内最小样本数目。由于良性客户端具有相近的特征分布，MinPts最大限度地将良性客户端聚成一簇。同时，由于恶意客户端与良性客户端的距离偏差较大，以余弦距离中位数作为Eps可以将恶意客户端聚成一簇。该方法明确设置了领域半径和最小样本数目2个约束条件，每次聚类一个新梯度后，聚类圆心都会发生相应调整，每个梯度会根据密度距离关系被划分到最合适的簇中，如果一个梯度既可以分到A簇也可以分到B簇，该梯度会被当作噪声点排除，这种方法可以根据设定的超参数Eps,MinPts将每个梯度划分到密度距离关系

31、最接近的簇中，最大限度地将恶意梯度从良性梯度中剔除。由于恶意客户端使用中毒数据导致全局模型角度较大地偏离良性客户端，因此不再采用欧几里得距离作为测量参数更新的标准，而是采用梯度之间的余弦距离作为角度距离，客户端u 的相似度得分用u 表示，即 11miuuii uiug gmgg，(6)其中，ig 和ug 分别表示客户端i 和u 的梯度。为了剔除恶意客户端与良性客户端之间较大的角度偏离的影响，本节提出了AdaptDBSCAN聚类的方式剔除恶意梯度攻击。自适应DBSCAN协议（AdaptDBSCAN）如算法2所示。算法 2 AdaptDBSCAN 输入客户端上传局部梯度向量G，客户端数量n，领域

32、半径Eps，簇内最小样本数目MinPts 输出聚类结果 I 1)DisCOSDIS()G/计算数据点之间的余弦距离，具体如式(6)所示 2)EpsMedian(Dis)/计算距离中位数 3)MinPts2n 4)DBSCAN(Dis,Eps,MinPts)I 4.4 自适应裁剪剔除了角度偏离较大的恶意客户端后，为进一步削弱相近角度中被放大的恶意后门梯度的影响，需要对高量级模型的梯度进行裁剪33，如图3所示。当攻击者通过缩放攻击使恶意模型与良性模型之间的欧几里得距离接近于良性模型之间的欧几里得距离时，FLAME方案20无法有效地对恶意梯度进行裁剪，而本文设计的自适应裁剪方案对客户端每轮训练后

33、的梯度进行TernGrad21转化，放大了恶意梯度更新进行统一裁剪，从而避免了缩放梯度造成的裁剪逃逸问题，在每轮训练后挑选神经网络每层的最大梯度作为当前层的梯度，并计算梯度中位数裁剪各层更新的梯度来抵御恶意梯度增强攻击。由于后门放大攻击中恶意梯度大小远超过良性梯度，影响最终全局模型的方向以及大小，因此本文设计了一种自适应裁剪方案，以g 为半径对梯度进行裁剪。如图3所示，通过限制恶意梯度大小能有效地削弱其影响。对梯度进行裁剪时需要最大限度地保留良性梯度特征，若g 的值设置过小，将会删除大部分良性客户端的梯度，从而导致全局梯度被后门攻击成功；若g 的值设置过大，将无法有效地削弱恶意客户端梯度的影响

34、。图 3 自适应裁剪削弱恶意梯度根据恶意客户端数量不超过2n 的假设，通过计算各客户端模型更新的欧几里得距离，并选择中位数作为裁剪的边界。当客户端梯度欧几里得距离ieg超过g 时，将被压缩成g，否则梯度保持不变。ieg可在第i 个客户端本地预先计算，具体自适应裁剪计算式为 1Median(,)Sign()Min(,)neeiiibeggggggg(7)其中，221(),1,iiiettigWWgin，ig是第i 个客户端本地迭代更新后的梯度，ibg是第i 个客户端裁剪后的梯度大小。116 通信学报第 44 卷 4.5 自适应加噪 Du等34实验表明，通过加入差分隐私噪声可以有效抵御异

35、常样本的影响，在训练过程中给模型添加适当的差分隐私噪声，有毒样本对模型的影响就越低。如图4所示，适当的噪声使加噪后的梯度偏离恶意梯度而靠近良性梯度，因此添加适当的差分隐私噪声可以增加模型抵御后门攻击的鲁棒性。图 4 自适应加噪平滑恶意梯度与良性梯度距离虽然引入高斯噪声可以减轻聚合后模型受后门攻击的影响，然而选择合适的噪声水平是至关重要的，因为它直接影响良性模型的梯度有效性。如果选择过小，聚合后的模型就可能仍然被保留的后门影响导致抵御失效；如果选择过大，将会影响聚合模型的精度，导致模型鲁棒性较差，无法正确表达。因此本文基于优化方案设计了一种实用且有效的噪声界限方案，将神经网络各层的最大梯

36、度的更新值作为2f，从而计算出各层高斯噪声的。该方法相比于FLAME方案中直接使用梯度更新作为加噪依据的方法突出了更新的程度，能够更有效地平滑恶意梯度的影响，的计算式为 21.251.252ln2lngf(8)其中，是隐私预算，是松弛因子，Mediang 1(,)neegg。如图4所示，通过加入2(0,)N来平滑恶意梯度与良性梯度之间的距离，所加入的高斯噪声的取决于敏感因子2f 的设置并采用裁剪边界作为高斯噪声的边界，以此来削弱后门攻击。4.6 联邦学习分布式后门防御如4.24.5节所讨论的，联邦学习分布式后门防御方案主要由四部分构成：TernGrad、AdaptDB

37、SCAN、自适应裁剪、自适应加噪。本节将详细介绍联邦后门攻击防御算法。为了进一步抵御联邦后门攻击，本文提出了分布式后门防御方案DAGUARD，用于解决在联邦学习下的分布式后门攻击。该方案采用TernGrad来解决恶意客户端对局部梯度进行操纵的影响，通过自适应DBSCAN将恶意梯度与良性梯度聚类后剔除，并通过中位数定理设置自适应裁剪边界，对超过良性梯度大小的梯度进行裁剪，最后通过加入自适应高斯噪声来削弱联邦后门攻击的影响。分布式后门防御（DAGUARD）如算法3所示。算法 3 DAGUARD 输入所有客户端的更新梯度G，所有客户端更新的二范数eG 输出全局模型更新

38、bg 1)1,nnGgg，1,neeenGgg 2)1inds,AdaptDBSCAN()m mccG 3)Median()eGG/自适应裁剪边界 4)for t in 1,m do 5)Sign()Min(,)iiicccbegggg/裁剪后梯度 6)end for 7)21.251.252ln2lngf 8)211(0,)imcbbiggNm/添加高斯噪声 9)向各客户端发送全局模型更新bg 5 实验性能评估 5.1 实验设置本节实验环境为Intel(R)Xeon(R)Gold 64内核，2.3 GHz，128 GB内存，Ubuntu 16.04服务器，PyTorch深度学习框架。5.1

39、.1 数据集本节实验基于2个图像识别任务来评估DAGUARD的性能：MNIST35的数字识别任务和FASHION36的图像分类任务。MNIST数据集由10个类组成，共包括60 000个图像训练样本和10 000个图像测试样本，且每个图像样本都是28 像素28 像素。FASHION数据集由10个类组成，有60 000个训练样本和10 000个测试样本，每个样本为28像素28像素灰度图像。5.1.2 基线本文与无后门防御方案FedAvg1、Yin等11提出的Median中位数防御方案和Nguyen等20提出的FLAME防御方案进行了实验对比。为了证明本文提出的DAGUARD防御的有效性，本文分

40、别在不同量级的数据集上进行了一系列实验，MNIST和第 5 期余晟兴等：DAGUARD：联邦学习下的分布式后门攻击防御方案 117 FASHION使用的是CNN，其结构主要包括全连接层、池化层、ReLU函数和卷积层。5.1.3 评估指标为了衡量DAGUARD的防御能力，本节使用以下指标来评估。1)后门任务攻击的成功率（BA）。BA表示在后门任务中对全局模型的攻击成功率，若模型针对目标样本的预测结果为恶意客户端所选择的错误输出，则代表攻击成功。对手的目标是最大化BA，而有效的防御可以阻止对手增加BA。2)后门任务攻击平均成功率（ABA）。ABA表示后门任务中对全局模型所有迭代轮次的攻击成功率

41、的平均值。3)主任务准确率（MA）。MA表示模型在对良性数据集进行预测时的准确性。对手的目标是最小化对MA的影响以减小被检测到的机会。防御系统不应该对MA产生负面影响。4)数据投毒率（PDR）。PDR表示训练数据集的中毒数据的比例。高PDR可能会增加BA，然而也可能使恶意模型与良性模型更容易被区分，从而更容易被发现。5)非独立同分布比例（NIR）。NIR表示数据集中非独立同分布数据所占的比例。5.2 实验性能 5.2.1 不同数据集的防御性能对比为了衡量本文提出的DAGUARD方案的实用性，本文在不同数据集下与目前主流的防御方案Median和FLAME以及联邦聚合策略FedAvg进行对比，使

42、用MA和BA来衡量各方案的防御性能表现，各方案在不同数据集中的MA表现分别如图5和图6所示；各方案在MINIST数据集和FASHION数据集的BA对比分别如表1和表2所示。实验设置每轮服务器挑选10个客户端，其中恶意客户端数量num=4，数据集分别为MNIST和FASHION，客户端数量设置为100，批处理大小设置为64。在MNIST数据集下的MA对比实验结果如图5(a)图5(c)和图6(a)图6(c)所示，其中，图5(a)图5(c)为不同PDR条件下的MA变化趋势，图6(a)图6(c)为不同NIR条件下的MA变化趋势，可以看出，本文方案的MA表现要优于FLAME方案，但各方案在MA上的表现相

43、差不大，在模型达到收敛后，MA表现最差的方案与表现最好的FedAvg方案差距不超过2%。从表1可以明显看出各方案在BA上的差别，FedAvg方案由于没有进行后门攻击的防御，其BA很快就达到100%，即被完全攻破；由于Median方案通过对模型更新取中位数作为更新的值，在一定程度限制了更新的幅度，在特定设置下对联邦后门攻击起到了防御作用，但是Median方案在PDR=0.312 50、不同NIR条件下和NIR=0.25、不同PDR条件下的BA变化幅度很大，且当PDR=0.312 50、NIR=0.25时，BA达到了64.15%；当NIR=0.25、PDR=0.468 75时，表 1 各方案在 M

44、INIST 数据集的 BA 对比防御方案 NIR（PDR=0.312 50）PDR（NIR=0.25）0.25 0.50 0.75 0.156 25 0.312 50 0.468 75 FedAvg 100%100%100%100%100%100%Median 64.15%6.18%10.80%6.23%64.15%56.72%FLAME 1.58%1.31%1.98%45.52%1.58%1.56%DAGUARD 1.17%1.08%1.02%0.95%1.90%1.79%表 2 各方案在 FASHION 数据集的 BA 对比防御方案 NIR（PDR=0.312 50）PDR（NIR=0

45、.25）0.25 0.50 0.75 0.156 25 0.312 50 0.468 75 FedAvg 100%100%100%100%100%100%Median 99.96%99.92%100%99.94%99.96%99.96%FLAME 30.15%17.75%54.15%24.16%30.15%26.26%DAGUARD 11.4%10.92%17.44%17.61%11.40%13.55%118 通信学报第 44 卷图 5 各方案在不同数据集和不同 PDR 条件下的 MA 表现第 5 期余晟兴等：DAGUARD：联邦学习下的分布式后门攻击防御方案 119 图 6 各

46、方案在不同数据集和不同 NIR 条件下的 MA 表现 120 通信学报第 44 卷 BA达到了56.72%；相比Median和FLAME采用的HDBSCAN，本文方案将恶意梯度与良性梯度聚成不同簇，并采用裁剪和加噪来限制模型更新，对联邦后门攻击起到了更好的防御作用。虽然FLAME和本文方案的BA总体上较接近，但本文在MA胜出的情况下BA仍然更低，当PDR=0.156 25、NIR=0.25时，FLAME方案的BA甚至达到了45.52%，表现不够稳定；而本文的DBSCAN相比HDBSCAN具有更好的聚类效果，且采用TernGrad方式有效限制了缩放攻击，相比FLAME方案具有更好的防御能

47、力。实验结果表明，在MINIST数据集中，本文方案具有更好的防御表现。在FASHION数据集下的实验对比如图5(d)图5(f)和图6(d)图6(f)所示，其中，图5(d)图5(f)为不同PDR条件下的MA变化趋势，图6(d)图6(f)为不同NIR条件下的MA变化趋势，本文方案在MA的表现上仍优于FLAME方案，并且本文方案与MA中表现最好的无防御FedAvg方案相差不大。表1中，由于FASHION数据集的样本特征比MNIST数据集更多，Median方案的BA均在99.90%左右，完全无法抵御联邦后门攻击；而FLAME受到FASHION数据集的影响相比本文方案更大，当NIR=0.75、PDR=0

48、.312 50时，BA达到了54.15%，且在不同设置下，BA大部分超过了20%；相比之下，本文方案在不同的设置下BA均未超过20%，且大部分不超过14%，考虑到在MA上本文方案表现相比FLAME更好，因此在FASHION数据集中，本文方案仍然具有更好的防御能力。5.2.2 不同PDR的防御稳定性对比实验设置客户端数量为100，批处理大小为64，每轮服务器挑选10个客户端，每轮投毒客户端数量设置为4，NIR分别设置为0.25、0.50和0.75。不同PDR与NIR下各方案在MINIST数据集和FASHION数据集的ABA对比如表3所示。本节对比不同PDR下各方案的表现。在MINIST数据集中

49、，FedAvg方案的ABA在各参数条件下均超过94%，无法抵御后门攻击；Median方案的ABA随着PDR的增加而上升，甚至一度超过10%，防御效果欠佳；FLAME方案的防御表现不够稳定，在PDR=0.156 25时其ABA表现较差，在其他情况下也都略差于本文方案。在FASHION数据集中，FedAvg方案仍然无法抵御后门攻击；Median方案的ABA最低超过40%，最高超过60%，防御效果较差；FLAME方案依然不够稳定，在PDR=0.312 50时其ABA一度超过了20%；而本文方案的ABA始终控制在10%以下，性能好且比较稳定。5.2.3 不同NIR的防御稳定性对比实验设置客户端数量为

50、100，批处理大小为64，每轮服务器挑选10个客户端，每轮投毒客户端数量设置为4，PDR分别设置为0.156 25、0.312 50和0.468 75，如表3所示。本节对比不同NIR下各方案的表现。在MINIST数据集中，FedAvg方案无法抵御后表 3 不同 PDR 与 NIR 下各方案在 MNIST 和 FASHION 的 ABA 对比防御方案 PDR MNIST FASHION NIR=0.25 NIR=0.50 NIR=0.75 NIR=0.25 NIR=0.50 NIR=0.75 FedAvg 0.156 25 95.23%94.71%94.65%96.92%91.05%91.06

展开阅读全文