【论文阅读笔记】Lockdown: Backdoor Defense for Federated Learning with Isolated Subspace Training

_Mia_

已于 2025-03-18 17:25:47 修改

阅读量993

点赞数 8

分类专栏：论文笔记文章标签：论文阅读笔记人工智能机器学习

于 2025-03-17 16:48:13 首次发布

本文链接：https://blog.csdn.net/leticia_m/article/details/146316876

版权

论文笔记专栏收录该内容

32 篇文章

订阅专栏

个人阅读笔记，如有错误欢迎指出！

会议：NeurIPS 2024 2376f25ef1725a9e3516ee3c86a59f46-Paper-Conference.pdf

问题：

现有针对FL后门防御的剪枝方法存在毒耦合效应，降低防御性能

现有防御通常在训练和推理阶段需要额外的计算(e.g. 随机平滑对抗训练)

FL设置下的无数据剪枝，发现FL后门的中毒参数倾向于与良性参数统计耦合

创新：

提出子空间训练来减轻毒耦合的影响。下图为子空间训练示意图，通过子空间训练将良性模型与恶意模型隔离。每个客户端仅在模型参数的隔离子空间上进行训练，避免恶意客户端污染全局参数。通过限制训练范围，减少了后门参数的扩散（毒耦合效应）。

结合剪枝（移除不重要参数）和恢复（引入重要参数）机制，动态调整子空间。利用梯度信息指导参数恢复，提升子空间对本地数据的适配性。

通过统计多数客户端的子空间使用情况，识别并清除恶意参数。基于“良性参数会被多数客户端共享，而恶意参数仅出现在少数子空间”的假设，有效隔离后门。

威胁模型

考虑三种形式：弱中等强，每种形式均允许多对手同时存在。弱后门仅能操控本地数据，中、强后门能操控本地训练过程，强后门能获得良性模型的信息(聚合结果)

后门目标（M为全部客户端集N为恶意客户端集）

方法：

流程

        初始化：采用ERK算法为每个客户端随机生成稀疏子空间。

ERK（Erdős–Rényi Kernel）是一种稀疏分配方法，根据模型的层结构动态分配稀疏度。具体来说：
卷积层：稀疏度与输入/输出通道数和卷积核大小成反比，即参数多的层稀疏度更高（保留更少参数）。
全连接层：稀疏度与输入/输出神经元数量相关，同样参数多的层更稀疏。

        本地训练：客户端在隔离子空间内更新参数，避免全局污染。

        子空间调整：通过剪枝（移除低权重参数）和恢复（引入高梯度参数）动态优化子空间。

        参数聚合：服务器聚合各客户端的子空间更新，生成全局模型。

        共识融合：根据多数客户端的子空间覆盖情况，剪除低频参数，消除后门。

子空间初始化

对每个客户端（用二进制变量 $m_{i,0}$ ）的初始子空间强制稀疏度为 $s$ 。为了保持稀疏性的实际性能，使用ERK进行随机子空间初始化，其中对应子空间中的不同层被指定为不同的稀疏性。

对于每个客户端强制其具有相同的初始子空间。（在某些情况下异构掩码初始化能增强防御效果）

隔离训练：客户端仅训练模型的部分参数（隔离子空间），二维掩码 $m_{i,t}$ 应用于每个本地步骤的梯度，将训练隔离到第i个客户端自己的子空间中

动态子空间搜索：结合剪枝和恢复机制，动态调整子空间，以优化参数选择并隔离恶意参数。

子空间剪枝：删除客户端当前子空间中不重要的参数（经过k轮本地训练后每层最小的参数）。同时更新mask $m_{i,t+1}$ ，argbottomK返回每层绝对权重最小的坐标 $\alpha_t$ ，并将其掩码为1表示将被修剪。使用余弦退火来剪枝

子空间覆盖：覆盖被剪枝的参数。为了确定恢复哪些参数，使用客户端数据提取梯度 $w,r,t$ ，然后对参数进行覆盖并更新mask为 $m_{i,t+\frac{1}{2}}$ 。（直觉是，对于局部数据上的重要参数，其梯度幅度应该大于不重要的参数，而不重要的参数应该包含在新的子空间中。）ArgTopKαt−1(w)返回绝对梯度最大坐标的αt−1百分比，并将其掩码为1，表示将被恢复。

聚合：完成子空间训练后，客户端将本地子空间的梯度更新上传到服务器进行聚合。根据它们的坐标贡献对梯度更新进行平均

共识融合(CF)：通过统计多数客户端子空间使用情况，识别并清除不常被良性客户端使用的参数，从而消除后门。形式上，共融合运算符返回一个满足以下条件的向量。所有子空间中小于θ的参数被稀疏化为0。这样，有毒的参数就会大部分被消除从而达到干扰后门的目的。

实验（40个客户端，随机选4个作为恶意客户端，中毒率50%）：

后门模型

弱：badnet，dba，sinusoidal

中：scaling，fixmask

强：neurotoxin，自适应攻击

在iid与noniid设置下与sota的对比

投毒率的影响（在noniid设置下且投毒率较高的情况下，lockdown优势较大。这种现象是因为当恶意客户端数据集中注入了大量的后门样本时，恶意客户端的子空间与良性客户端的偏差会更大。因此，恶意子空间与良性子空间重叠较少，导致更好的隔离，也有利于共识融合过程。）

中毒率50%，恶意客户端比例对结果的影响

noniid程度的影响

对弱、中、强三种后门攻击形式下的防御效果

通信和模型复杂性（实现了更小的通信开销，减少了推理模型的参数量，不会严重干扰模型正常功能）

不同数据集上的表现

总结分析：

在资源受限的环境中友好

子空间虽然由客户端自行决定，恶意客户端可以上传恶意的子空间参数，但其攻击成功的概率不大。因为1.每个客户端在训练过程中基于自身数据分布和任务目标动态调整子空间且只使用全局模型更新子空间的参数，导致少量的恶意客户端难以覆盖所有良性子空间的范围。2.恶意子空间缺乏良性客户端的共识支持，难以在全局模型中存活。3.动态剪枝与恢复机制迫使恶意客户端在本地优化中暴露其攻击意图，进而被服务器端过滤。

Lockdown在Non-IID数据分布下表现较好（因客户端任务差异大），但在接近IID的场景中，客户端子空间可能趋同，导致恶意参数更易隐藏在共识中。