近日,可信人工智能教育部工程研究中心课题组在工业信息领域顶级期刊《IEEE Transactions on Industrial Informatics》(TII)(中科院一区TOP期刊)在线发表了题为“Collusive Model Poisoning Attack in Decentralized Federated Learning”的研究论文。该论文的第1作者为课题组的硕士生谈守红、共同第1作者为课题组的博士生郝锋锐,通讯作者为古天龙教授。
图1 论文在线发表截图
作为一种保护隐私的机器学习范式,联邦学习(Federated Learning,FL)引起了学术界和工业界的广泛关注。去中心化联邦学习(Decentralized Federated Learning,DFL)克服了传统FL中聚合服务器不可信、单点故障和可扩展性差等问题,使其更好地适用于工业物联网场景。然而,DFL为恶意参与者发起攻击提供了更便利的条件。论文首次关注了DFL中的模型投毒攻击,并提出了一种模型投毒合谋攻击方法Collusive Model Poisoning Attack (CMPA)。为了使攻击适用于DFL的多种特性,论文设计了一种动态自适应的机制来构建能够有效破坏共识的恶意投毒模型。进一步地,还设计了基于合谋的攻击增强策略以改进CMPA的有效性和隐蔽性,其中多个恶意参与者协作构建投毒模型,最大化攻击效果以降低共识模型的性能,并交替更新恶意模型以绕过检测的防御方法。大量的实证实验表明,CMPA显着影响DFL的训练过程和结果,不仅使基于统计的防御失效,而且巧妙地克服了基于性能的防御方法。此外,为了证明攻击方法的实际应用价值,论文在真实的工业物联网场景中的验证也表明CMPA可以有效达成攻击效果。
图2 CMPA框架
该研究工作得到了国家自然科学基金重点项目(U22A2099, 62336003)等的支持。
文章链接:https://ieeexplore.ieee.org/abstract/document/10374440
