联邦学习中的对抗性攻击通过侧重于检测恶意贡献、保护通信安全以及确保模型聚合的鲁棒性来减轻。联邦学习涉及多个参与方在不共享原始数据的情况下训练共享模型,这会产生漏洞。攻击者可能会提交经过操纵的模型更新,以降低性能、植入后门或泄露敏感信息。缓解策略通过结合安全协议、异常检测和对异常值具有鲁棒性的聚合方法来应对这些风险。
一种常见的方法是使用鲁棒的聚合算法,而不是简单的平均。例如,截尾平均值 (trimmed mean) 在平均之前移除更新中的极端值,从而减少异常值的影响。Krum 选择最接近大多数其他更新的更新,丢弃可疑的更新。另一种方法 FoolsGold 通过识别异常相似的更新模式来检测 Sybil 攻击(多个虚假参与者)。此外,聚类或统计测试(例如,比较更新幅度)等异常检测技术会标记异常更新。例如,提交的更新比其他参与方大十倍的参与方可能会被阻止。还可以通过向更新中添加受控噪声来应用差分隐私,限制攻击者推断训练数据或操纵梯度的能力。
安全的通信协议和验证机制进一步降低了风险。安全多方计算(SMPC)确保更新在不泄露个体贡献的情况下进行聚合,防止攻击者逆向工程敏感数据。同态加密允许在加密的更新上进行计算,但这会增加计算开销。一些框架还要求参与者证明他们在使用有效数据进行训练(例如,通过零知识证明)。例如,一个医学影像项目可能会结合 Krum 聚合与 SMPC,在过滤恶意更新的同时保护患者隐私。开发者必须平衡安全性和效率——过于严格的检测可能会阻止合法更新,而繁重的加密会减慢训练速度。在模拟对抗环境中测试这些方法有助于调整其有效性。