ACE: A Model Poisoning Attack on Contribution Evaluation Methods in Federated Learning

在联邦学习（FL）中，一组客户端协作训练一个机器学习模型（称为全局模型），而不共享它们的本地训练数据。客户端的本地训练数据通常是非独立同分布和异构的，导致每个客户端对全局模型的最终性能作出的贡献不同。因此，许多贡献评估方法被提出，服务器可以评估每个客户端的贡献，并激励高贡献客户端维持其长期参与FL。现有研究主要集中于开发新的度量或算法来更好地衡量每个客户端的贡献。然而，在对抗环境中运行的FL的贡献评估方法的安全性很大程度上未被探索。在本文中，我们提出了对FL贡献评估方法的第一个模型污染攻击，称为ACE。具体而言，我们展示了任何恶意客户端利用ACE都可以操纵其本地模型的参数，以便在服务器评估时被评估为具有高贡献，即使其本地训练数据实际上质量较低。我们对ACE进行了理论分析和实证评估。在理论上，我们展示了ACE的设计可以有效地提高恶意客户端的感知贡献，当服务器使用广泛使用的余弦距离度量来衡量贡献时。在实证上，我们的结果显示ACE有效且高效地欺骗了五种最先进的贡献评估方法。此外，ACE保持了测试输入的最终全局模型的准确性。我们还探讨了六种对抗ACE的对策。我们的结果显示它们不足以阻止ACE，强调了需要新的防御措施来保护FL中的贡献评估方法的紧迫性。

本文旨在探索联邦学习中贡献度评估方法的安全性，并提出了一种名为ACE的模型污染攻击，该攻击可以欺骗服务器，使其认为某些质量较低的客户端对全局模型的贡献很高。

本文提出了ACE模型污染攻击，通过操纵本地模型参数来欺骗服务器，使其认为某些质量较低的客户端对全局模型的贡献很高。

本文进行了理论分析和实证评估，证明了ACE的有效性和高效性。同时，本文还探讨了六种防御措施，但结果表明这些措施无法有效地防御ACE攻击。

最近的相关研究包括《Federated Learning with Matched Averaging》、《Towards Practical Differential Privacy for Federated Learning》等。