On Evaluating the Poisoning Robustness of Federated Learning under Local Differential Privacy
2509.05265v1
cs.CR, cs.LG
2025-09-09
Авторы:
Zijian Wang, Wei Tong, Tingxuan Han, Haoyu Chen, Tianling Zhang, Yunlong Mao, Sheng Zhong
Резюме на русском
## Контекст
Federated learning (FL) представляет собой метод обучения моделей машинного обучения, где модель обучается на децентрализованных данных, расположенных на клиентских устройствах. Объединение FL с локальной дифференциальной частностью (LDP) позволяет обеспечить приватность данных при обучении модели. Однако децентрализованный подход к управлению данными делает LDPFL уязвимым к атакам, особенно моделированию отравления (model poisoning attacks, MPA), когда злоумышленники вносят злонамеренные обновления в глобальную модель, чтобы нарушить ее сходимость. Хотя LDPFL показало свою эффективность в обеспечении приватности, его устойчивость к MPA остается нерешенной проблемой. Это способствует мотивации к исследованию способов оценки устойчивости LDPFL к подобным атакам.
## Метод
Мы разработали расширяемую модель для злонамеренных атак на LDPFL, ориентированную на максимизацию глобальной потери обучения, соблюдая ограничения локальной дифференциальной частности. Чтобы обходить защиту, основанную на таких методах, как Multi-Krum и trimmed mean, мы разработали адаптивные атаки, использующие в обратном обучении специально проектированные ограничения. Эти атаки способны эффективно обходить даже сложные защитные механизмы. Мы проверили нашу модель на трех представительных LDPFL-протоколах, данных из трех бенчмарковых датасетов и двух видов нейронных сетей. Мы также исследовали влияние данных о данных и параметров приватности на эффективность атак.
## Результаты
Наши эксперименты показали, что адаптивные атаки могут значительно снизить производительность глобальной модели, демонстрируя критические уязвимости в LDPFL. Мы установили, что эффективность атак напрямую зависит от степени неоднородности данных и изменения параметров приватности. Например, на датасете CIFAR-10 с использованием двух слоев нейронной сети мы обнаружили, что наша атака может увеличить глобальную потерю обучения в 5 раз по сравнению с безуязвимой моделью. Эти результаты являются критически важными для понимания проблемы MPA в LDPFL.
## Значимость
Наша работа предоставляет новый подход к оценке устойчивости LDPFL, который может быть применен в различных приложениях, где гарантирована приватность данных. Она демонстрирует потенциал для развития более надежных стратегий защиты FL от злонамеренных участников. Благодаря нашим результатам, разработчики могут создавать более прочные LDPFL-системы, улучшая их устойчивость к отравлению моделей.
## Выводы
Наше исследование показало, что злонамеренные атаки могут значительно ухудшить производительность LDPFL-систем. Мы разработали адаптивные модели, которые эффективно обходя
Abstract
Federated learning (FL) combined with local differential privacy (LDP)
enables privacy-preserving model training across decentralized data sources.
However, the decentralized data-management paradigm leaves LDPFL vulnerable to
participants with malicious intent. The robustness of LDPFL protocols,
particularly against model poisoning attacks (MPA), where adversaries inject
malicious updates to disrupt global model convergence, remains insufficiently
studied. In this paper, we propose a novel and extensible model poisoning
attack framework tailored for LDPFL settings. Our approach is driven by the
objective of maximizing the global training loss while adhering to local
privacy constraints. To counter robust aggregation mechanisms such as
Multi-Krum and trimmed mean, we develop adaptive attacks that embed carefully
crafted constraints into a reverse training process, enabling evasion of these
defenses. We evaluate our framework across three representative LDPFL
protocols, three benchmark datasets, and two types of deep neural networks.
Additionally, we investigate the influence of data heterogeneity and privacy
budgets on attack effectiveness. Experimental results demonstrate that our
adaptive attacks can significantly degrade the performance of the global model,
revealing critical vulnerabilities and highlighting the need for more robust
LDPFL defense strategies against MPA. Our code is available at
https://github.com/ZiJW/LDPFL-Attack
Ссылки и действия
Дополнительные ресурсы: