PoisonedFL: Model Poisoning Attacks to Federated Learning via Multi-Round Consistency

本文研究了模型污染攻击对联邦学习（FL）的重大安全威胁。现有的模型污染攻击存在两个关键限制：1）当防御措施部署时，攻击效果不佳；2）攻击者需要了解真实客户端的模型更新或本地训练数据。本文观察到，攻击效果不佳是因为攻击者仅在单个训练轮次中利用恶意客户端之间的模型更新一致性，使攻击效果在训练轮次之间自我抵消。基于这一观察，本文提出了PoisonedFL，它在恶意客户端之间强制实施多轮一致性，同时不需要任何关于真实客户端的知识。我们在五个基准数据集上进行了实证评估，结果表明PoisonedFL打破了八种最先进的防御措施，并且优于七种现有的模型污染攻击。此外，我们还探索了针对PoisonedFL的新防御措施，但结果表明我们仍然可以适应PoisonedFL来打破它们。我们的研究表明，FL系统的鲁棒性比以前想象的要低得多，强调了开发新的防御机制的紧迫性。

本论文旨在解决Federated Learning（FL）中的模型污染攻击存在的问题，即攻击效果不佳或需要了解真实客户端的模型更新或本地训练数据。

本文提出了PoisonedFL，通过在恶意客户端的模型更新之间强制实施多轮一致性，从而不需要任何真实客户端的知识，提高了攻击效果。

本文的实验评估使用了五个基准数据集，并展示了PoisonedFL打破了八种最先进的防御机制，并且优于七种现有的模型污染攻击。此外，本文还探索了一些新的针对PoisonedFL的防御机制，但结果表明我们仍然可以适应PoisonedFL来突破它们。本文揭示了FL系统的鲁棒性远不如以前想象的那么强，强调了开发新的防御机制的紧迫性。

最近在这个领域中，还有一些相关的研究，例如：“Model Extraction and Adversarial Transferability in a Distributed Environment”和“Secure Federated Transfer Learning”等。