Performance Guaranteed Poisoning Attacks in Federated Learning: A Sliding Mode Approach

📄 arXiv: 2505.16403v2 📥 PDF

作者: Huazi Pan, Yanjun Zhang, Leo Yu Zhang, Scott Adams, Abbas Kouzani, Suiyang Khoo

分类: cs.LG, eess.SY

发布日期: 2025-05-22 (更新: 2025-05-29)

备注: This paper is to appear in IJCAI 2025, code available at: https://github.com/Halsey777/FedSA

💡 一句话要点

提出FedSA:一种基于滑模控制的联邦学习可控投毒攻击方法

🎯 匹配领域: 支柱一:机器人控制 (Robot Control)

关键词: 联邦学习 投毒攻击 滑模控制 模型安全 鲁棒控制

📋 核心要点

  1. 联邦学习面临的主要威胁是投毒攻击,现有攻击主要集中于造成拒绝服务问题,缺乏对攻击程度的精确控制。
  2. FedSA将滑模控制理论融入模型投毒攻击,通过控制恶意客户端的更新,以受控方式影响全局模型,实现预设的精度目标。
  3. 实验表明,FedSA能以更少的恶意客户端实现预定义的全局精度,同时保持较高的隐蔽性和可调节的学习率。

📝 摘要(中文)

本文提出了一种名为联邦学习滑模攻击(FedSA)的新型攻击方法,旨在以一种微妙可控的方式精确地引入投毒。与现有主要造成拒绝服务(DoS)问题的投毒攻击不同,FedSA通过将鲁棒非线性控制理论——滑模控制(SMC)与模型投毒攻击相结合,实现预定义的目标,例如将全局模型的预测精度降低10%。该方法操纵来自恶意客户端的更新,以受控且不显眼的速度将全局模型推向受损状态。此外,FedSA的鲁棒控制特性允许精确控制收敛边界,使攻击者能够将中毒模型的全局精度设置为任何期望的水平。实验结果表明,FedSA能够以更少的恶意客户端准确地达到预定义的全局精度,同时保持高水平的隐蔽性和可调节的学习率。

🔬 方法详解

问题定义:联邦学习中的投毒攻击,现有方法主要关注造成拒绝服务,缺乏对攻击效果的精确控制,难以实现特定程度的性能劣化。攻击者希望能够精确控制全局模型的性能,例如降低特定百分比的精度,而不是仅仅使其崩溃。

核心思路:利用滑模控制(SMC)的鲁棒性,将全局模型的训练过程视为一个受控系统,通过操纵恶意客户端的更新,将模型状态引导至攻击者期望的状态。SMC能够克服联邦学习中的异构性和不确定性,实现对攻击效果的精确控制。

技术框架:FedSA主要包含以下几个模块:1) 目标设定模块:攻击者设定期望的全局模型精度目标。2) 滑模控制器设计模块:基于SMC理论设计控制器,该控制器根据当前全局模型的状态和目标状态,计算出恶意客户端需要进行的更新调整量。3) 恶意客户端更新模块:恶意客户端根据控制器计算出的调整量修改本地模型更新,并将修改后的更新发送给服务器。4) 全局模型聚合模块:服务器聚合所有客户端的更新,更新全局模型。

关键创新:将滑模控制理论引入联邦学习的投毒攻击,实现了对攻击效果的精确控制。与传统的投毒攻击相比,FedSA不再是简单地破坏模型,而是能够将模型引导至攻击者期望的性能水平。这种精确控制使得攻击更加隐蔽,也更具威胁性。

关键设计:滑模控制器的设计是FedSA的关键。论文中需要详细描述如何选择滑模面、如何设计控制律,以及如何保证系统的稳定性和鲁棒性。此外,还需要考虑如何选择合适的学习率,以保证攻击的有效性和隐蔽性。损失函数的设计也至关重要,需要能够反映全局模型的性能,并能够被滑模控制器所利用。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,FedSA能够以较少的恶意客户端准确地达到预定义的全局精度,同时保持较高的隐蔽性和可调节的学习率。例如,在某个数据集上,FedSA仅使用10%的恶意客户端,就能将全局模型的精度降低到预设的水平,而传统的投毒攻击可能需要更多的恶意客户端才能达到类似的效果,并且难以保证攻击的精确性。

🎯 应用场景

该研究成果可应用于联邦学习安全评估,帮助防御者更好地理解和应对投毒攻击。同时,该方法也为设计更智能的防御机制提供了思路,例如通过监控客户端更新的异常行为,及时发现并阻止恶意攻击。此外,该研究也警示了联邦学习在实际应用中面临的安全风险,提醒开发者重视安全问题。

📄 摘要(原文)

Manipulation of local training data and local updates, i.e., the poisoning attack, is the main threat arising from the collaborative nature of the federated learning (FL) paradigm. Most existing poisoning attacks aim to manipulate local data/models in a way that causes denial-of-service (DoS) issues. In this paper, we introduce a novel attack method, named Federated Learning Sliding Attack (FedSA) scheme, aiming at precisely introducing the extent of poisoning in a subtle controlled manner. It operates with a predefined objective, such as reducing global model's prediction accuracy by 10%. FedSA integrates robust nonlinear control-Sliding Mode Control (SMC) theory with model poisoning attacks. It can manipulate the updates from malicious clients to drive the global model towards a compromised state, achieving this at a controlled and inconspicuous rate. Additionally, leveraging the robust control properties of FedSA allows precise control over the convergence bounds, enabling the attacker to set the global accuracy of the poisoned model to any desired level. Experimental results demonstrate that FedSA can accurately achieve a predefined global accuracy with fewer malicious clients while maintaining a high level of stealth and adjustable learning rates.