这篇文档属于类型a,即报告了一项原创研究。以下是对该研究的学术报告:
作者及研究机构
本研究的作者包括Shouhong Tan、Fengrui Hao、Tianlong Gu(IEEE高级会员)、Long Li和Ming Liu。他们分别来自暨南大学可信人工智能教育部工程研究中心、桂林电子科技大学广西可信软件重点实验室以及广州信息技术研究院。该研究发表于2024年4月的《IEEE Transactions on Industrial Informatics》期刊上。
学术背景
本研究的主要科学领域是联邦学习(Federated Learning, FL),特别是去中心化联邦学习(Decentralized Federated Learning, DFL)。联邦学习作为一种隐私保护的机器学习范式,近年来在学术界和工业界引起了广泛关注。然而,传统的联邦学习存在聚合服务器不可信、单点故障和扩展性差等问题。去中心化联邦学习通过消除对中心服务器的依赖,解决了这些问题,使其更适用于工业物联网(IIoT)等场景。然而,DFL也为恶意参与者提供了更多的攻击机会。本文首次聚焦于DFL中的模型投毒攻击,并提出了一种新型攻击方法——共谋模型投毒攻击(Collusive Model Poisoning Attack, CMPA)。
研究流程
1. 问题定义与目标
本研究的目标是提出一种适用于DFL的模型投毒攻击方法,并通过动态自适应机制和共谋策略增强攻击的有效性和隐蔽性。
动态自适应机制
研究提出了一种动态自适应构建机制,恶意参与者可以动态构建满足距离约束的恶意本地模型,从而降低共识模型的收敛速度和准确性。该机制的核心是优化扰动函数和缩放系数,使得恶意模型与良性模型的距离最大化,同时避免被统计防御方法检测到。
共谋策略
为了进一步增强攻击效果,研究设计了基于共谋的攻击增强策略。多个恶意参与者可以在构建恶意模型时协作,通过释放具有相同偏差方向的模型来增强攻击效果,或者通过轮流攻击来增强隐蔽性。
实验设计
研究在MNIST和CIFAR-10数据集上进行了实验,验证了CMPA对DFL训练过程和结果的影响。此外,研究还针对代表性的防御方法进行了攻击测试,证明CMPA不仅能够绕过基于统计的防御方法,还能巧妙地克服基于性能的防御方法。
实际场景验证
研究进一步在实际的IIoT场景中验证了CMPA的有效性,证明了该方法能够有效破坏系统功能。
主要结果
1. 攻击效果
实验结果表明,CMPA在无防御的DFL系统中能够造成显著破坏。当恶意参与者比例为10%时,模型准确性显著下降;当比例达到20%时,模型准确性降至41.08%以下,失去了实际应用价值。
防御突破
CMPA能够绕过多种防御方法,包括基于统计的防御方法(如d_krum、d_median和d_bulyan)和基于性能的防御方法(如ubar和capar)。即使恶意参与者比例降低到20%,CMPA仍然能够产生强大的攻击效果。
隐蔽性分析
通过共谋策略,CMPA能够显著降低恶意参与者与良性参与者的权重分布差异,从而增强攻击的隐蔽性。
实际场景验证
在IIoT场景中,CMPA能够显著破坏训练性能和收敛速度,验证了其在真实应用中的有效性。
结论
本研究首次提出了专门针对DFL的模型投毒攻击方法CMPA,并通过动态自适应机制和共谋策略确保了攻击的有效性和隐蔽性。实验结果表明,CMPA在隐蔽性、持久性和影响力方面表现突出,具有破坏IIoT系统的潜力。本研究的意义在于揭示了DFL系统中的安全漏洞,并为进一步探索DFL的攻击和防御机制提供了重要参考。
研究亮点
1. 创新性
CMPA是首个专门针对DFL设计的模型投毒攻击方法,填补了该领域的研究空白。
动态自适应机制
提出的动态自适应构建机制能够有效优化恶意模型,增强攻击效果。
共谋策略
基于共谋的攻击增强策略显著提高了攻击的隐蔽性和持久性。
实际验证
在IIoT场景中的验证进一步证明了CMPA的实用性和威胁性。
其他有价值内容
本研究还详细分析了CMPA的计算复杂度,并对攻击的隐蔽性进行了理论分析,为后续研究提供了重要的理论基础。