联邦学习攻防综述

联邦学习简介

联邦学习使得无法被汇聚在一起的多个数据源，可以通过不可逆的模型信息训练共享模型。

整体的流程被划分成 3 个阶段：1)共享模型分发；2)本地模型训练；3)模型信息收集、聚合与模型更新，如下图所示

 攻击类型

联邦学习的两个重要目标分别是隐私保护和联合建模，而这两个目标也是攻击者的攻击方向。这篇论文根据攻击者的方向，将攻击类型划分为3类。

（1）机密性攻击，攻击者尝试从传递的数据中推断隐私信息。联邦学习为了避免原始数据出库，传递的数据通常是不可逆的模型信息，如神经网络的权重参数、决策树中的信息增益。但只要联合模型有效，那么传递的数据将不可避免地泄漏原始训练数据的信息。

（2）正直性攻击，攻击者尝试破坏联邦模型在特定输入上的功能，而保证其在遇到其他输入时正常输出。攻击者的目的在于诱导目标模型，在遇到特定输入时输出攻击者设定的预测值。

（3）可用性攻击，攻击者尝试阻碍正常参与者构建或者访问一个有效联邦模型。攻击者的攻击点分为两个：1）在构建模型的过程中降低联邦模型的质量(如破坏模型的收敛性)；2）在访问联邦模型时，利用 DoS 泛洪攻击使得提供模型的服务器瘫痪。

攻击面

在模型训练过程中，各参与者需要在本地依次进行全局模型参数下载、数据的收集与预处理、本地模型训练以及模型参数上传；而服务器则需要收集参与者模型参数、聚合参数以及分发参数。当模型训练完成后，需要将模型以 API接口的形式