1、VT合谋攻击(Validation-Trainer Collusion Attack)
定义 :在联邦学习中,验证者(Validator) 与**训练者(Trainer)**恶意串通,通过共享隐私信息或操纵验证结果,破坏系统的公平性、隐私性或模型性能。
(1)训练者
- 负责模型的训练过程,通过调整模型参数(如权重和偏置)最小化损失函数。
- 使用训练数据集(Training Dataset)进行迭代优化。
- 可能涉及超参数调优(如学习率、批量大小等),但主要通过反向传播算法更新模型。
(2)验证者
- 负责评估模型在训练过程中的泛化能力,防止过拟合或欠拟合。
- 使用验证数据集(Validation Dataset)评估模型性能,不参与参数更新。
- 监控指标(如准确率、F1分数)并决定是否提前停止训练或调整超参数。
(3)验证者的具体职责
-
模型性能评估
验证者通过独立的数据集(验证集)评估模型表现,确保其未过度依赖训练数据中的噪声或特定模式。常用指标包括分类准确率、均方误差(MSE)等。
-
超参数调优
验证阶段用于比较不同超参数组合的效果(如不同网络层数、激活函数),选择最优配置。例如,通过交叉验证(Cross-Validation)划分多组验证集。
-
过拟合检测
若训练误差持续下降而验证误差上升,可能出现过拟合。验证者需触发早停(Early Stopping)或调整正则化策略(如L2正则化)。
-
模型选择
在多个候选模型(如不同架构的神经网络)中,验证者通过验证集性能选择最佳模型,最终提交至测试集评估。
(4)实际应用中的流程差异
-
训练阶段:训练者仅接触训练数据,通过优化算法(如SGD、Adam)更新模型。
-
验证阶段:验证者使用未见过的验证数据评估模型,指导后续改进方向。
2、攻击目的
-
**窃取隐私数据:**验证者与训练者合谋,通过模型更新(梯度)反推出其他参与者的原始数据(如成员推断攻击)。
-
**操纵模型结果:**恶意训练者提交伪造的模型更新,验证者故意放行,导致模型偏向特定目标(如广告投放欺诈)。
-
**逃避贡献评估:**合谋者互相掩盖低质量贡献,骗取奖励(如区块链联邦学习中的代币激励)。
3、针对联邦学习的阶段
VT合谋主要影响以下两个阶段:
| 阶段 | 攻击方式 |
|---|---|
| 模型更新提交阶段 | 训练者提交恶意梯度,验证者故意不检测异常,使攻击更新被聚合到全局模型中。 |
| 模型验证阶段 | 验证者为合谋训练者提供虚假验证结果(如高评分),掩盖其恶意行为。 |
4、案例
-
**梯度泄露攻击:**合谋的验证者将其他训练者的梯度信息透露给恶意训练者,后者通过梯度反演恢复敏感数据。
-
**Sybil攻击变种:**攻击者伪装成多个训练者(Sybil身份),并与验证者合谋,控制多数投票权操纵模型更新。
5、防御措施
-
**动态群签名:**匿名化训练者身份,防止验证者定向勾结特定成员(但需保留追溯能力)。
-
**去中心化验证:**通过区块链智能合约或多方计算(MPC)自动验证模型更新,减少人为干预。
-
**贡献审计机制:**记录训练者的历史行为,对异常贡献(如突然的高梯度幅值)进行惩罚。
-
**差分隐私(DP):**在梯度中添加噪声,降低合谋者从模型更新中推断隐私的能力。