引用格式:伏欣國,王龍,劉麗澤,等. 聯(lián)邦學習中基于NMSS和LoRA的魯棒防御機制研究[J].網(wǎng)絡安全與數(shù)據(jù)治理,2025,44(4):24-31.
引言
聯(lián)邦學習(Federated Learning, FL)[1]作為分布式機器學習的重要范式,通過“數(shù)據(jù)不動模型動”與“數(shù)據(jù)可用而不可見”的機制有效緩解了數(shù)據(jù)孤島問題,成為隱私保護領域的關鍵技術[2]。然而,其去中心化的架構與參數(shù)共享特性,也引入了多重安全威脅:
(1)隱私泄露風險:模型的梯度信息可能暴露用戶數(shù)據(jù)特征,如嵌入層泄露、全連接層梯度符號推斷等攻擊手段已被證實可重構原始數(shù)據(jù)[3];
(2)投毒攻擊威脅[4]:惡意客戶端通過注入噪聲、翻轉標簽或植入后門,顯著降低模型性能(如本文3.2.1節(jié)攻擊強度影響實驗結果顯示,20%惡意客戶端即可使準確率下降超過30%);
(3)服務器合謀漏洞[5]:傳統(tǒng)安全聚合協(xié)議(如Secure Aggregation)難以抵御多服務器聯(lián)合篡改,導致全局模型參數(shù)被惡意操控。
面對以上多種安全威脅,現(xiàn)有防御方案存在以下三大瓶頸:
(1)效率與安全性失衡:同態(tài)加密雖可保護隱私,但會帶來高達40%的計算開銷[6],而差分隱私[7]的噪聲添加在一定程度上會削弱模型可用性[8];
(2)魯棒性不足:基于統(tǒng)計的聚合方法(如Trim-mean[9]、Krum[10])對高隱蔽性攻擊(如生成對抗網(wǎng)絡驅動的投毒[11])檢測率不足60%;
(3)通信成本高昂:全參數(shù)傳輸在ViT-Base[12]等大模型中需15 MB/輪的通信量,難以適配資源受限場景。
現(xiàn)有的聯(lián)邦學習防御機制主要側重于隱私保護與抗攻擊性,但在面對數(shù)據(jù)投毒、模型篡改等復雜安全威脅時,防御效果仍存在不足。針對這一問題,本文提出了一種基于不可篡改秘密共享(Non-Malleable Secret Sharing, NMSS)[13]與低秩適應(Low-Rank Adaptation, LoRA)[14]的融合防御架構,具有以下創(chuàng)新點:
(1)三服務器門限驗證機制:首次將NMSS與LoRA相結合,提出了一種新型的三服務器門限驗證機制,通過結合零知識證明(Zero-Knowledge Succinct Transparent ARguments of Knowledge, zk-STARK)[15],實現(xiàn)分片不可篡改性與拜占庭容錯[16],理論證明合謀攻擊下僅需1臺誠實服務器即可保障參數(shù)完整性[17];
(2)低秩約束的魯棒性增強:利用LoRA將參數(shù)更新壓縮至低維子空間(秩r=8),限制投毒攻擊的擾動空間,實驗表明可減少32%的準確率下降;
(3)動態(tài)權重聚合算法:結合客戶端行為可信度評估與自適應范數(shù)裁剪,在CIFAR-10數(shù)據(jù)集實現(xiàn)96.8%的篡改分片檢測率,同時通信開銷降低至1.7 MB/輪,有效提升了防御能力,并大幅降低了通信開銷。
本文工作為聯(lián)邦學習安全領域提供三方面貢獻:首先在理論層面,首次將NMSS的可驗證性與LoRA的低秩特性結合,構建信息論安全框架;其次在技術層面,設計分層式三服務器驗證鏈,支持高效分片恢復(<10 ms/客戶端)與動態(tài)惡意節(jié)點隔離;最后在應用層面,在miniImageNet非獨立同分布場景下驗證方案有效性,為醫(yī)療、金融等高敏感領域提供可落地的解決方案[18]。
本文詳細內容請下載:
http://m.viuna.cn/resource/share/2000006409
作者信息:
伏欣國1,王龍1,2,劉麗澤3, 王雷4,趙建坤1
(1.中國電子信息產業(yè)集團有限公司第六研究所,北京102209;
2.山東大學網(wǎng)絡空間安全學院,山東青島266237;
3.西安電子科技大學計算機科學與技術學院,陜西西安710071;
4.深圳市酷開網(wǎng)絡科技股份有限公司,廣東深圳518000)
