FedFG: Privacy-Preserving and Robust Federated Learning via Flow-Matching Generation

📄 arXiv: 2603.27986v1 📥 PDF

作者: Ruiyang Wang, Rong Pan, Zhengan Yao

分类: cs.CR, cs.AI, cs.CV, cs.LG

发布日期: 2026-03-30

💡 一句话要点

FedFG:基于流匹配生成器的隐私保护和鲁棒联邦学习框架

🎯 匹配领域: 支柱二:RL算法与架构 (RL & Architecture)

关键词: 联邦学习 隐私保护 鲁棒性 流匹配生成器 投毒攻击

📋 核心要点

  1. 传统联邦学习在隐私保护和鲁棒性方面存在不足,易受梯度泄露和投毒攻击。
  2. FedFG利用流匹配生成器在客户端保护私有特征,并在服务器端进行鲁棒聚合。
  3. 实验表明,FedFG在多个数据集上优于现有方法,同时保持了较强的隐私保护能力。

📝 摘要(中文)

联邦学习(FL)允许多个分布式客户端使用本地私有数据协同训练全局模型。然而,最近的研究表明,传统的FL算法在隐私保护方面仍然存在不足,并且服务器缺乏可靠和稳定的聚合规则来更新全局模型。这种情况为攻击者创造了机会:一方面,他们可能窃听上传的梯度或模型参数,从而可能泄露良性客户端的私有数据;另一方面,他们可能攻陷客户端以发起投毒攻击,从而破坏全局模型。为了平衡准确性和安全性,我们提出了FedFG,这是一个基于流匹配生成器的鲁棒FL框架,它同时保护客户端隐私并抵抗复杂的投毒攻击。在客户端侧,每个本地网络被解耦为一个私有特征提取器和一个公共分类器。每个客户端还配备了一个流匹配生成器,该生成器在与服务器交互时替换提取器,从而在学习底层数据分布的近似值的同时保护私有特征。作为对客户端侧设计的补充,服务器采用客户端更新验证方案和一种由流匹配生成器生成的合成样本驱动的新型鲁棒聚合机制。在MNIST、FMNIST和CIFAR-10上的实验表明,与先前的工作相比,我们的方法适应多种攻击策略,并在保持强大的隐私保护的同时实现更高的准确性。

🔬 方法详解

问题定义:联邦学习面临隐私泄露和模型投毒攻击的挑战。传统的联邦学习方法容易受到攻击者通过分析上传的梯度或模型参数来推断客户端的私有数据。此外,恶意客户端可以通过上传精心设计的梯度来破坏全局模型,而服务器缺乏有效的防御机制。因此,如何在保护客户端隐私的同时,保证联邦学习的鲁棒性是一个亟待解决的问题。

核心思路:FedFG的核心思路是利用流匹配生成器来保护客户端的私有特征,并采用鲁棒聚合机制来防御投毒攻击。具体来说,每个客户端使用流匹配生成器生成与本地数据分布相似的合成数据,并将其上传到服务器,而不是直接上传真实的梯度或模型参数。服务器则利用这些合成数据来验证客户端更新的有效性,并采用鲁棒聚合算法来抑制恶意客户端的影响。

技术框架:FedFG框架主要包含客户端侧和服务器侧两个部分。在客户端侧,每个客户端的本地网络被解耦为一个私有特征提取器和一个公共分类器。客户端使用私有特征提取器提取本地数据的特征,然后使用流匹配生成器生成与这些特征相似的合成特征。客户端将合成特征和公共分类器的梯度上传到服务器。在服务器侧,服务器首先使用客户端更新验证方案来评估每个客户端上传的更新的质量。然后,服务器使用一种新型的鲁棒聚合机制,该机制利用流匹配生成器生成的合成样本来驱动聚合过程,从而抑制恶意客户端的影响。

关键创新:FedFG的关键创新在于以下几个方面:1) 使用流匹配生成器来保护客户端的私有特征,避免了直接上传真实梯度或模型参数带来的隐私泄露风险。2) 提出了一种客户端更新验证方案,可以有效地检测和过滤恶意客户端的更新。3) 设计了一种新型的鲁棒聚合机制,该机制利用流匹配生成器生成的合成样本来驱动聚合过程,从而提高了模型的鲁棒性。与现有方法相比,FedFG在隐私保护和鲁棒性方面都取得了显著的提升。

关键设计:FedFG的关键设计包括:1) 流匹配生成器的网络结构和训练方式,需要保证生成的合成特征与真实特征的相似度。2) 客户端更新验证方案的阈值设置,需要在保证检测率的同时,避免误判良性客户端。3) 鲁棒聚合机制的聚合权重计算方式,需要能够有效地抑制恶意客户端的影响,同时保证良性客户端的贡献。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

FedFG在MNIST、FMNIST和CIFAR-10数据集上进行了实验,结果表明,与现有的联邦学习方法相比,FedFG在保持强大的隐私保护能力的同时,实现了更高的准确率。例如,在CIFAR-10数据集上,FedFG在面对多种攻击策略时,仍然能够达到较高的准确率,并且优于其他基线方法。

🎯 应用场景

FedFG适用于对隐私保护和安全性有较高要求的联邦学习场景,例如医疗健康、金融服务等领域。在这些领域,数据通常包含敏感信息,直接共享数据会带来隐私泄露的风险。FedFG可以通过保护客户端的私有特征,并防御投毒攻击,从而保证联邦学习的安全性和可靠性,促进跨机构的数据协作。

📄 摘要(原文)

Federated learning (FL) enables distributed clients to collaboratively train a global model using local private data. Nevertheless, recent studies show that conventional FL algorithms still exhibit deficiencies in privacy protection, and the server lacks a reliable and stable aggregation rule for updating the global model. This situation creates opportunities for adversaries: on the one hand, they may eavesdrop on uploaded gradients or model parameters, potentially leaking benign clients' private data; on the other hand, they may compromise clients to launch poisoning attacks that corrupt the global model. To balance accuracy and security, we propose FedFG, a robust FL framework based on flow-matching generation that simultaneously preserves client privacy and resists sophisticated poisoning attacks. On the client side, each local network is decoupled into a private feature extractor and a public classifier. Each client is further equipped with a flow-matching generator that replaces the extractor when interacting with the server, thereby protecting private features while learning an approximation of the underlying data distribution. Complementing the client-side design, the server employs a client-update verification scheme and a novel robust aggregation mechanism driven by synthetic samples produced by the flow-matching generator. Experiments on MNIST, FMNIST, and CIFAR-10 demonstrate that, compared with prior work, our approach adapts to multiple attack strategies and achieves higher accuracy while maintaining strong privacy protection.