1、DOI:10.11991/yykj.202301003基于联邦平均的异常检测拜占庭容错算法王壮壮,杨佳鹏,俎毓伟,陈丽芳,周旭华北理工大学理学院,河北唐山063210摘要:传统联邦学习训练模型时假定所有参与方可信,但实际场景存在恶意参与方或恶意攻击模型,现有的联邦学习算法面对投毒攻击时,存在模型性能严重下降的问题。针对模型投毒问题,本文提出一种基于联邦平均(federatedaveraging,Fedavg)与异常检测的联邦检测算法FedavgCof,该算法考虑到所有参与方之间的差异对比,在中心服务器和本地模型之间添加异常检测层,通过基于聚类的本地异常检测因子(cluster-basedloc
2、aloutlierfactor,COF)异常检测算法剔除影响模型性能的异常参数,提升模型鲁棒性。实验结果表明,虽然新型投毒方式攻击性更强,但是 FedavgCof 能够有效防御投毒攻击,降低模型性能损失,提高模型抗投毒攻击能力,相较于 Median 和模型清洗算法平均提升精度达到 10%以上,大幅提升了模型的安全性。关键词:联邦学习;聚合方式;投毒攻击;异常检测;数据孤岛;拜占庭容错算法;联邦平均;中心服务器中图分类号:TP309文献标志码:A文章编号:1009671X(2024)02012708A Byzantine fault-tolerant algorithm for outliers
3、 detection based on thefederated averagingWANGZhuangzhuang,YANGJiapeng,ZUYuwei,CHENLifang,ZHOUXuCollegeofSciences,NorthChinaUniversityofScienceandTechnology,Tangshan063210,ChinaAbstract:Thetraditionalfederatedlearningandtrainingmodelassumesthatallparticipantscanbetrusted.However,therearemaliciouspar
4、ticipantsormaliciousattackmodelintheactualscenario,andtheexistingfederatedlearningalgorithmhastheproblemofseriouslydecliningmodelperformanceinthepoisoningattack.Fortheproblemofmodelpoisoning,thispaperproposesafederaldetectionalgorithmFedavgCofbasedonfederatedaveraging(Fedavg)andanomalydetection.Thea
5、lgorithmconsidersthedifferenceamongallparticipants,addsanomalydetectionlayerbetweenthecentralserverandthelocalmodel,eliminatesthecluster-basedlocaloutlierfactor(COF)anomalyparametersthataffectperformanceofthemodel,andimprovesrobustnessofthemodel.Theexperimentalresultsshowthatalthoughthenewpoisoningm
6、ethodismoreaggressive,FedavgCofcaneffectivelypreventpoisoningattack,reducethelossofmodelperformance,and improve the models anti-poisoning attack ability.Compared with Median and model cleaningalgorithm,theaverageaccuracyismorethan10%,whichgreatlyimprovessecurityofthemodel.Keywords:federatedlearning;
7、aggregationmode;poisoningattack;outlinersdetection;datasilos;Byzantinefault-tolerantalgorithm;federatedaveraging;centralserver联邦学习1是一种分布式机器学习框架,包括一个中心服务器和多个参与方。每轮训练中,各参与方根据本地数据集训练得到局部模型,并将模型参数发送给中心服务器,再由中心服务器通过聚合算法聚合局部模型,更新全局模型参数,再分发给各参与方,完成一轮训练。经过多次迭代,直至模型收敛。在机器学习协作训练过程中,这种方式不需要将本地数据上传到中心服务器,可以保护每个
8、参与方的数据隐私安全2。虽然联邦学习能够有效保护各参与方数据隐私,但是仍然存在安全问题,最突出的就是针对随机梯度下降(stochasticgradientdescent,SGD)算法3的拜占庭问题4,拜占庭式失败会造成模型学习性能下降。大多数拜占庭机器学习算法重点研究 SGD 的保护,本文也将 SGD 作为研究对象。在每次 SGD 迭代中,参与方从中心服务器中接收最新模型,利用本地训练数据得到模型参数,然收稿日期:20230105.基金项目:河北省自然科学基金项目(F2018209374).作者简介:王壮壮,男,硕士研究生.陈丽芳,女,博士,教授.通信作者:陈丽芳,E-mail:hblg_.第
9、51卷第2期应用科技Vol.51No.22024年3月AppliedScienceandTechnologyMar.2024后将参数反馈给中心服务器,中心服务器通过聚合算法更新模型。SGD 可以应用于联邦优化问题,提升计算效率。而通过上传模型参数与中心服务器协同训练算法模型这种方式,并不能保证所有参与方都是可信的,在模型训练过程中,参与方训练过程对于中心服务器不可见,其可信与否不能仅凭猜测或经验判断,可能会存在恶意参与方或攻击者的拜占庭威胁,其通过投毒攻击等方法直接攻击模型,破坏模型完整性,严重影响模型分类性能。Lyu 等5简要介绍和讨论了联邦学习威胁模型、中毒攻击、鲁棒性防御等概念,强调了各
10、种攻击和防御所采用的关键技术以及基本假设。Xie 等6认为,在任何迭代中,恶意参与方只占不到一半的数量,由于这种异常(有时是敌对)行为具有不可预测性,通常称其为拜占庭式失败,这意味着一些恶意参与方的行为可能是完全任意的,可以向中心服务器发送任何参数。提升联邦学习算法的鲁棒性是目前大部分学者主要研究热点之一,Bhagoji 等7探讨了如何对联邦学习进行不同于传统数据中的模型中毒操作,模型中毒是由对手控制少量恶意代理进行的,通常只选择一个,目的是使全局模型错误分类。文章探索了一些针对深度神经网络的攻击策略,从目标模型中毒开始,利用增强恶意参与方的更新来克服其他参与方的影响,结果表明,有效和隐蔽的模
11、型投毒攻击是可能的,突出了联邦学习设置中的漏洞,目前已经证明针对联邦学习的成员攻击和模型攻击8会导致训练数据的隐私泄漏。如一种轻微扰动参数但精心设计的分布式学习攻击9,通过对参数进行有限修改,可以防止模型收敛而且还可以进行模型反演。Xie 等10提出内积操纵的投毒攻击方式,通过操纵内积攻击具有拜占庭容错的 SGD。Mcmahan 等11提出一种基于参数集合中值的分布式聚合算法 Median,该算法可证明鲁棒性和更好的通信效率。王田等12提出模型清洗算法,根据参与方本地更新模型参数和中心服务器模型参数的余弦相似度判断参与方是否参与更新,实验表明相对于传统联邦学习,该方法有效增强了模型鲁棒性,但只
12、考虑了单个参与方与全局模型的差异比较。拜占庭式失败意味着在联邦学习训练过程中存在恶意参与方(攻击者),攻击者通过控制参与方数据可以估计出所有参与方大致的平均值、标准差,然后向中心服务器有选择地发送偏离均值的参数(如与真实梯度相反方向的梯度参数和参数上下边界值等)。攻击者替换参与方发送给中心服务器的参数为任意值,这些参数与参与协同训练的所有参与方共享。不同的攻击方法在设置参数值的方式上有所不同,但即使只添加微小扰动也能影响模型性能,达到让模型预测错误的目的;因此研究如何保证恶意节点无法攻击训练模型尤为重要。异常检测机制能够作为参数聚合前的一道防火墙,类似包过滤策略思想,对参与方参数进行筛查,有效
13、避免投毒攻击带来的伤害。为此本文提出了 FedavgCof 算法,通过考虑所有参与方之间的差异对比,剔除影响模型性能的异常参数,以期算法能够抵御多种模型投毒攻击,提升模型鲁棒性。1联邦平均与投毒攻击1.1联邦学习聚合方式nmmt,m M在联邦学习框架中,聚合方式是中央服务器接收各参与方参数后更新全局模型的选择方式。假设所有参与方无恶意,常用联邦平均(federatedaveragingalgorithm,Fedavg)算法聚合本地模型的参数,联邦平均的精髓在于中心服务器聚合梯度的方式,在每轮迭代中,各参与方发送的本地模型参数按照拥有的样本数量占比进行整合并求均值。假设联邦学习有 M 个参与方,
14、每个参与方在第 t 轮迭代中具有个训练数据样本和本地模型权重,Fedavg 具体公式如下:tMm=1nmnmttnmmn=Mm=1nm式中:为模型参数;为更新后的第 t 轮全局模型参数;为第个参与方的数据样本数;n 为M 个参与方的数据总数,。Fedavg 聚合是联邦学习常用聚合方式,它能够兼顾所有参与方模型,但当存在拜占庭参与方时,该方法盲目信任所有参与方,在参数聚合中混入投毒数据时,会严重损害模型性能。tmt Rd、m Mmedmt:m Mt而在 Median 聚合算法中,中心服务器对第轮所有参数进行排序,并将中位数作为当前轮次全局模型的参数,当参与方的数量为偶数,选择中间 2 个参数的平
15、均数作为中位数。t=(M+1)/2t,M%2=1M/2t+M/2+1t2,M%2=0Median 聚合时对全局更新的参数进行挑选,不会考虑所有参与方的参数,这种方式在面对存128应用科技第51卷在恶意参与方的协同训练环境中会表现出高于Fedavg 聚合方式的鲁棒性。Lt=l1,l2,lkGt1=g1,g2,gk模型清洗算法通过余弦相似度比较本地更新参数和全局模型参数之间的差异,假设当前参与方 t 轮迭代中的本地更新参数,上轮迭代中的全局更新模型参数,其中 Lt为本地模型参数,Gt1为全局模型参数,k 为参数维度。依据余弦相似度算法计算出全局模型与本地模型之间的相似度,相似度小于所设阈值时,模型
16、参数设为空,表明该模型参数无效,不进行全局聚合,具体公式为s=cos(Lt,Gt1)=|Lt|Gt1|=kj1ljgjvtkj1(lj)2vtkj1(gj)2模型清洗算法中 2 个参数角度越小,余弦距离越小,表示 2 模型越相似,能有效提升模型鲁棒性。但考虑的角度相对局限,只注意单个参与方与全局模型的关系,未关注参数集合的整体关系。而本文提出的 FedavgCof 算法,针对模型参数集合进行异常检测,异常检测的过程不仅能够挖掘个体与个体的关系,还兼顾关注参数集合的整体关系,更具科学性。1.2投毒攻击投毒攻击13分为数据投毒和模型投毒,模型投毒是篡改模型训练参数,投毒参数参与全局模型参数更新,导
17、致模型性能下降。除了训练强大的全局模型外,设计具有隐私保护并能抵抗不同类型攻击者的联邦学习系统至关重要。本文研究提出几种新的模型投毒方式,包括取反投毒攻击、极值投毒攻击和混合投毒攻击,它们在联邦学习框架中选择部分参与方,通过不同攻击方式篡改全局更新参数,实现模型投毒攻击,造成联邦学习模型性能下降,具体定义如下。定义 1(取反投毒攻击)梯度下降算法中下降的方向非常重要,模型尽快收敛要保证梯度方向与下降方向一致,而攻击者会从梯度方向进行投毒攻击,造成梯度不降反增,具体如公式为mt=mt取反投毒不进行复杂数学计算,直接对真实梯度取反篡改,而内积操纵攻击是使聚合向量与真梯度的内积为负达到参数取反的效果
18、。相比之下,二者实现攻击效果等同,但取反投毒节省时间,效率更快。定义 2(极值投毒攻击)攻击者获取训练样本的数据属性,使用远离均值的极值篡改局部模型参数,以此引导全局模型参数向参数上下边界靠拢,达到投毒攻击的目的,降低模型性能。如一些参数相似、只有一个偏离它们的攻击参数,聚合后会影响其偏离无此参数的真实梯度期望,用 max()表示取最大参数作为更新参数、min()表示取最小参数作为更新参数,具体公式为t=max(mt:m M)t=min(mt:m M)定义 3(混合投毒攻击)避免模型对单种投毒方式生成抵抗力,混合投毒攻击对一部分参数使用极值投毒,一部分参数使用取反投毒,通过多轮实验,2 种攻击
19、比例按照 21 的方式同时进行投毒攻击。在图 1 中,使用 Fedavg 聚合方式进行联邦学习训练,在中间阶段拜占庭参与方仅投毒一次,模型收敛损失(loss)增大,即使之后进行大量迭代训练,也无法消除投毒影响。若拜占庭模型一直未被检测剔除,并不断进行投毒攻击,甚至会导致模型发散。00.10.20.30.40.50.61020迭代代数Fedavg 初始Fedavg 极值投毒Fedavg 取反投毒Fedavg 混合投毒训练损失304050图1Fedavg 聚合方式在多种投毒攻击下的损失新型攻击方式按照攻击 Fedavg 的策略分别对 Median、模型清洗算法投毒,结果如图 2 和图 3 所示。在
20、面对新型投毒攻击时,模型清洗算法鲁棒性大于 Median,Median 鲁棒性大于 Fedavg,但仍然造成极大模型损失。01020迭代代数3040500.060.080.100.120.140.160.180.20训练损失Median 初始Median 极值投毒Median 取反投毒Median 混合投毒图2Median 聚合方式在多种投毒攻击下的损失曲线第2期王壮壮,等:基于联邦平均的异常检测拜占庭容错算法129010203040500.0750.1000.1250.1500.1750.2000.2250.2500.275模型清洗算法初始模型清洗算法取反模型清洗算法极值模型清洗算法混合训练
21、损失迭代代数图3模型清洗算法在多种投毒攻击下的损失曲线为了抵抗新的投毒攻击,本文提出融合异常检测的联邦异常检测算法 FedavgCof,在面对拜占庭攻击时,对投毒参数设立防线进行拦截,提升联邦学习模型鲁棒性和安全性。2联邦异常检测算法本文在参数聚合阶段14融合基于聚类的本地异 常 检 测 因 子(cluster-based local outlier factor,COF)异常检测算法。常用的检测方法关注点包括模型、聚类15、近邻度和分类。基于邻近度的异常检测方法可以分为基于距离法和基于密度法,适合用来检测噪声和异常值且可解释性较好,也适合各种数据类型。基于距离的异常检测算法阈值固定,数据集分
22、布不均匀,有些稀疏,有些密集,使用同一阈值效果差。而异常情况可以根据数据样本的局部密度去判定,局部离群因子(localoutlierfactor,LOF)1617算法用欧式距离得出数据集每个样本之间的距离来计算数据密度,然后根据每个样本邻域内其他样本的平均密度和该样本的密度的比值关系来确定该样本的离群程度。比值越大,判定为离群样本的可能越大,但它不能有效度量序列数据和低密度数据18。而COF 是用最短路径方法(链式距离)求局部密度19,将其邻域比其近邻邻域更稀疏的样本标为异常值,若异常点是参数,则表示的最近邻平均连接距离小于它的平均连接距离。通过分离密度和孤立性(一个样本与其他样本关联程度)的
23、思想,可以在低密度(附近样本的数量)模式下检测离群点,从而获得比 LOF 更好的结果。FedavgCof 算法在中心服务器聚合更新全局参数前,衡量参数集合的分离密度和孤立性,防止攻击者模仿真实梯度的低密度分布降低可疑性,无论参数是球形分布还是线性分布,都能够精准检测异常参数值,建立投毒攻击防火墙,摒弃异常参数,提升模型鲁棒性,且在未受到模型攻击时,相较于 Median 也不会损害模型性能。FedavgCof 算法具体流程如图 4 所示。参与方 1攻击者攻击中心服务器初始化模型拜占庭模型 m本地模型 2本地模型 1wwwwww异常检测参与方 2参与方 mFedavg 更新模型.图4FedavgC
24、of 模型训练流程130应用科技第51卷minxRdF(x)F(x)xF(x)=0模型训练中随机梯度下降算法的优化目标为,假设存在一个的极小值,记作,则。模型训练过程先由中心服务器确定训练的参与方,并发送初始模型和模型参数,这些参与方使用本地数据对局部模型进行本地计算更新局部模型参数。it=Fi(xt):i M it:i M定义 4(拜占庭失败的威胁模型)在第 t 轮迭代中,在拜占庭失败模型中,恶意工人发送的梯度可以取任意值,正确参数被恶意参与方用任意梯度替换为,在不同迭代中被攻击参数不同。=(1t,2t,Mt)中 心 服 务 器 接 收 各 参 与 方 发 送 的 参 数,在参数集合还未进行
25、聚合之前,采用基于连通性的离群值概念来识别参数是否为离群值进行投毒参数检测,具体过程如下:Nk()1)找出每个参数 的 k 个最近的邻居,用表示包括 和这些相邻点的集合。1 i k1 i+1i+1,i+2,k1,2,i2)根 据 距 离 参 数 最 近 的 路 径(setbasednearesttrail,SBN-trail)定义一个集合,使得对于所有,是 集 合中的最近邻。e=e1,e2,ekNk()eidist(ei)3)SBN-trail 路径相关的边点序列构成集合中从参数 开始的连续最近邻。每个 是一个边点,表示组成边的集合之间的距离。Nk()d(Nk()4)计算 到的平均链接距离,由
26、代价 描 述 中 从 到 SBN-trail 路 径 的 加 权 距 离表示,公式如下:d()=1r1k1i=12(ki)rd(ei)(1)k5)通过参数的 个邻居计算其基于连接的离群系数 C,公式如下:C()=d()1koNk()d(o)(2)Nk()参数 的 COF 是 到的平均距离和它的邻居样本的平均距离的比值,因此参数成为离群值的可能会随着 COF 值的增加而增加。qMqn通过 COF 值将混杂在参数集合中被篡改的个参数*找出并剔除,对剩余个正常参数集合进行聚合并更新全局模型,剩余的数据总量为,服务器收集参与方发送的梯度集合,并使用Fedavg 聚合方式更新模型如下:t+1 tMqm=
27、1nmnmt+1上述过程迭代多轮,直到全局模型达到收敛,具体算法描述如下:0输入:初始,参与方数量 M、批数量、本地训练学习率、本地训练轮数 T。T输出:最终全局模型。/中心服务器Initializetoeachparticipant;foreachroundt=0,1,T1doforeachparticipantm=1,2,Mparallellydomt+1ParticipantUpdate(m,t)t+1OutliersDetectionCOF()t+1 tMqm=1nmnmt+1endforendforTreturn/参与方ParticipantUpdate(m,)functionfor
28、eachlocalepochifrom1toEdoforbatchbinbatches(splitdataintobachesofsizeB)do (;b)endforendforreturn3实验与分析实验计算机配置为 8GB 内存、i5 处理器、Windows10 操作系统,编译平台选择 Pycharm2019,编程语言为 Python3。所有实验均基于 torch 框架,使用 torchvision 导入 MNIST 数据集,样本为像素值大小为 2828 的图像,训练集数据 60000张,测试集数据10000 张,标签分为 09 共 10 个数 字。训 练 模 型 选 择 多 层 感 知
29、 机(multi-layerperception,MLP),设 置 10 个 参 与 方,学 习 率 为110-3,训练次数为 50。在所有实验中,采取模型训练中间阶段开始投毒,恶意参与方与正常参与方比值设为 46,默认恶意参与方数量不大于总参与方的半数。3.1评价指标混淆矩阵作为分类模型的预测结果分析总结表,矩阵的行表示数据集真实值,矩阵的列表示分类模型预测值,其中真实值和预测值的关系如表 1 所示。第2期王壮壮,等:基于联邦平均的异常检测拜占庭容错算法131表1真实值与预测值关系预测值真实值正类负类正类NTPNFN负类NFPNTNNTP表示正阳性,真实值为正类,预测值识别为正类;NFN表示
30、假阴性,真实值为正类,预测值识别为负类;NTN表示真阴性,真实值为负类,预测值识别为负类;NFP表示假阳性,真实值为负类,预测值识别为正类。本文通过混淆矩阵使用常见的准确率 A 作为评价模型性能指标之一,具体公式为A=NTP+NTNNTP+NTN+NFP+NFN(3)3.2结果分析通过准确率和损失这 2 个维度进行实验分析。在 MNIST 数据集使用 Fedavg、Median、模型清洗算法和 FedavgCof 进行模型训练,训练准确率 Atraining和测试准确率 Atest变化情况如表 2 所示。未投毒时 Median 和模型清洗算法对参数的筛选过程会造成部分精度损失,FedavgCo
31、f 几乎不会损失性能,优于 Median 聚合和模型清洗算法。表 2未投毒时 Atraining和 Atest变化情况%聚合方式AtrainingAtestFedavg79.7479.54Median73.6272.90模型清洗算法78.0478.07FedavgCof79.7479.54使用极值投毒、取反投毒以及混合投毒 3 种投毒方式测试 FedavgCof的鲁棒性,Fedavg、Median和模型清洗算法作为对比基准,Atraining和 Atesting变化结果分别如表 35所示。表 3极值投毒时 Atraining和 Atest变化情况%聚合方式AtrainingAtestingFe
32、davg10.5110.94Median52.8652.17模型清洗算法75.7275.71FedavgCof79.0679.03表 4取反投毒时 Atraining和 Atest变化情况%聚合方式AtrainingAtestFedavg17.3617.30Median27.1527.49模型清洗算法68.8268.56FedavgCof79.0478.99表 5混合投毒时 Atraining和 Atest变化情况%聚合方式AtrainingAtestFedavg14.9315.26Median53.5752.75模型清洗算法60.7060.58FedavgCof79.3979.40面对 3
33、种投毒攻击,联邦学习模型性能严重受 损,模 型 鲁 棒 性 由 低 到 高 依 次 为 Fedavg、Median、模型清洗算法、FedavgCof。其中 Fedavg面对极值投毒鲁棒性低于取反和混合投毒攻击;Median 面对取反投毒鲁棒性低于极值和混合投毒攻击;模型清洗算法面对混合投毒鲁棒性低于极值和取反投毒攻击,下面分别针对 3 种投毒攻击进行分析讨论。极值投毒攻击对 Fedavg 效果更强,因为极值投毒所选参数为参数最大值与最小值,上下边界较大,在将所有参数平均聚合模式下,影响全局模型参数程度更高;Median 使用参数中位数更新全局参数,所以对极值投毒具有一定鲁棒性;模型清洗算法通过
34、余弦相似度能发现极值投毒参数的异常,但准确率略低于 FedavgCof。取反投毒攻击将模型参数取反后放入参数集合,梯度更新时不但没有沿着梯度下降方向寻找最小梯度值,反而沿反方向增加,严重破坏梯度参数优化过程。Fedavg 更新参数时,参数相反数与其他参数相加的影响度低于极值与其他参数之和;Median 更新参数时,若将更新参数为取反投毒值,与正确更新参数差距较大,攻击损失远大于 Fedavg;模型清洗算法中部分取反投毒参数与全局参数的余弦相似度没有与正常参数和全局参数的余弦相似度拉开差距,不能有效衡量参数的异常情况,所以并不能很好地检测异常参数,但鲁棒性也要高于 Median。混合投毒是极值投
35、毒和取反投毒的结合。在Fedavg 聚合方式中存在两者相互抵消的情况,所以攻击效果位于两者之间;Median 聚合选择梯度参数的中位数作为全局参数,极值投毒参数偏离中位数,选择作为更新参数概率低,效果略低于其他 2 种攻击方式;而面对模型清洗算法时,混合投毒不仅改变更新收敛方向,部分参数甚至沿着收敛方向使用极值进行攻击,所以在 3 种攻击方式下,其攻击效果最强。在联邦学习训练遭到投毒攻击时,本文提出的 FedavgCof 算法能够在参数聚合更新前,通过计算参数 COF 值判断投毒参数,剔除投毒参数防132应用科技第51卷止其参与模型全局更新,虽然对 Fedavg 和 COF 已有大量研究,但本
36、文将二者融合,效果显著,可将FedavgCof 视为异常检测融合联邦学习的框架,后续可以研究更适合的异常检测算法来进一步提升模型性能。由表 35 中 3 种攻击模式下的 Atest值可知,相较 于 Median 聚 合 和 模 型 清 洗 算 法,FedavgCof算法比模型清洗算法准确率平均高了 10.86%,比Median 聚合准确率平均高了 35%。为了进一步验证模型的性能,使用投毒损失曲线(图 5)分析模型损失函数的影响。(a)极值投毒(b)取反投毒(c)混合投毒1020迭代代数3040501020迭代代数3040501020迭代代数304050012345训练损失00.40.20.6
37、0.81.01.2训练损失0246810训练损失FedavgMedianFedavgCof模型清洗算法FedavgMedianFedavgCof模型清洗算法FedavgMedianFedavgCof模型清洗算法图53 种投毒损失曲线根据图 5 中的结果可知,当使用极值投毒攻击模型时,训练损失值最大;取反投毒攻击会迅速增加训练损失值,之后训练损失曲线震荡,这是由于参数取反会改变梯度方向;混合投毒因融合极值投毒和取反投毒,所以 loss 值比极值投毒小,比取反投毒大,位于中间。在 3 种投毒方式下,Fedavg 的训练损失值逐渐增加,鲁棒性较弱;Median 鲁棒性比其强上许多,但与本文提出的 F
38、edavgCof 算法相比也略显不足;模型清洗算法通过余弦相似度充分对比更新参数与全局参数的差异,排除异常参数参与聚合,训练损失值低于 Median,略高于 FedavgCof。在多种攻击下,FedavgCof 对投毒参数进行识别,通过剔除损害模型性能的恶意参数,能够保证剩余参数可信参与模型聚合更新,还原可信参与方的协同训练环境,面对攻击仍然能平稳收敛。Fedavg 在参数聚合前不需要筛选参与方模型参数,Median 要从参数集合挑选参数中位数,模型清洗算法要计算每个参与方参数与全局模型参数的余弦相似度,总之都要对参数集合进行计算,三者复杂度处于一个量级,且由于参数聚合时参与聚合的数量不等,也
39、会影响计算时间。在实验中,本文得到算法运行时间总体相差不大,FedavgCof 略高于 Median 和模型清洗算法。本文提出的 3 种投毒攻击属于模型投毒攻击,都是攻击模型梯度参数,拜占庭参数在参数集合中的分布都会被 FedavgCof 视为异常,实验证明 FedavgCof 算法针对模型投毒攻击具有不错的鲁棒性,可以将其检测出来并剔除,保护模型性能。4结束语本文针对存在恶意参与方对模型投毒的情况,提出一种联邦异常检测算法 FedavgCof,在中心服务器聚合参数更新全局模型前,设立异常检测的防线,根据整体参数关系隔绝拜占庭模型投毒参数,与 Median 和模型清洗算法进行实验对比,通过实验
40、验证 FedavgCof 在面对投毒攻击时的有效性和高性能。本文所提算法具有一定的应用价值,能够应用于医疗、工业等领域,有效保护数据隐私,提升模型性能。本文所提模型 FedavgCof 专注于中心服务器参数更新防御,无法防止攻击者对参与方参数的篡改,且假设中心服务器完全可信。未来可在本文研究的基础上继续开展中心服务器在不可信的情况下,如何抵御恶意参与方的投毒攻击;投毒环境中,若恶意参与方多于可信参与方,该如何调整并训练模型等内容的研究。第2期王壮壮,等:基于联邦平均的异常检测拜占庭容错算法133参考文献:MCMAHAN H B,MOORE E,RAMAGE D,et al.Communicat
41、ion-efficientlearningofdeepnetworksfromdecentralized dataC/Proceedings of the 20 th Inter-nationalConferenceonArtificialIntelligenceandStatistics.Ft.Lauderdale:JMLR,2016.1周全兴,李秋贤,丁红发,等.基于博弈论优化的高效联邦学习方案 J.计算机工程,2022,48(8):144151,159.2LECUNY,BOTTOUL,ORRGB.Neuralnetworks:tricksof the tradeJ.Canadian jo
42、urnal of anaesthesia,2012,41(7):658.3LAMPORTL,SHOSTAKR,PEASEM.TheByzantinegeneralsproblemJ.ACMtransprogramLangsyst,1982,4:382401.4LYULingjuan,YUHan,MAXingjun,etal.Privacyandrobustnessinfederatedlearning:attacksanddefensesEB/OL.(20201207)20221115.https:/doi.org/10.48550/arXiv.2012.06337.5XIE Cong,KOY
43、EJO O,GUPTA I.Zeno:distributedstochastic gradient descent with suspicion-based fault-toleranceEB/OL.(20180525)20221115.https:/doi.org/10.48550/arXiv.1805.10032.6BHAGOJI A,CHAKRABORTY S,MITTAL P,et al.Analyzing federated learning through an adversariallensEB/OL.(20181129)20221115.https:/doi.org/10.48
44、550/arXiv.1811.12470.7SUNZiteng,KAIROUZP,SURESHAT,etal.CanYoureally backdoor federated learning?EB/OL.(20191118)20221115.https:/doi.org/10.48550/arXiv.1911.07963.8BARUCH M,BARUCH G,GOLDBERG Y.A little isenough:circumventingdefensesfordistributedlearningEB/OL.(20190216)20221115.https:/doi.9org/10.485
45、50/arXiv.1902.06156.XIEC,KOYEJOO,GUPTAI.Fallofempires:breakingbyzantine-tolerant SGD by inner product manipulationC/Proceedings of The 35th Uncertainty in ArtificialIntelligence Conference.Tel Aviv:PMLR,2020:261270.10MCMAHAN H B,MOORE E,RAMAGE D,et al.Federated learning of deep networks using modela
46、veragingEB/OL.(20160217)20221115.https:/doi.org/10.48550/arXiv.1602.05629.11刘艳,王田,尹沐君,等.基于边缘的联邦学习模型清洗和 设 备 聚 类 方 法 J.计 算 机 学 报,2021,44(12):25152528.12BAGDASARYAN E,VEIT A,HUA Y,et al.How tobackdoor federated learningC/Proceedings of theTwenty Third International Conference on ArtificialIntelligence
47、and Statistics.S.l.:PMLR,2020:29382948.13关健,刘大昕.一种基于多层感知机的无监督异常检测方法 J.哈尔滨工程大学学报,2004,25(4):495498.14杨斌,刘卫国.一种基于聚类的无监督异常检测方法J.计算机工程与应用,2008,44(1):138141.15BREUNIGMM,KRIEGELHP,NGRT,etal.LOF:identifyingdensity-basedlocaloutliersC/Proceedingsofthe 2000 ACM SIGMOD international conference onManagementofd
48、ata.NewYork:ACM,2000:93104.16张宁.离群点检测算法研究 J.桂林电子科技大学学报,2009,29(1):2225.17薛安荣,姚林,鞠时光,等.离群点挖掘方法综述 J.计算机科学,2008,35(11):1318,27.18TANGJian,CHENZhixiang,FUAWC,etal.Enhancingeffectiveness of outlier detections for low densitypatternsM/AdvancesinKnowledgeDiscoveryandDataMining.Heidelberg:Springer,2002:535548.19本文引用格式:王壮壮,杨佳鹏,俎毓伟,等.基于联邦平均的异常检测拜占庭容错算法 J.应用科技,2024,51(2):127134.WANGZhuangzhuang,YANGJiapeng,ZUYuwei,etal.AByzantinefault-tolerantalgorithmforoutliersdetectionbasedonthefederatedaveragingJ.Appliedscienceandtechnology,2024,51(2):127134.134应用科技第51卷
浙ICP备2021020529号-1 | 浙B2-20240490 
