Beyond Passive Aggregation: Active Auditing and Topology-Aware Defense in Decentralized Federated Learning

📄 arXiv: 2603.18538v1 📥 PDF

作者: Sheng Pan, Niansheng Tang

分类: cs.LG, stat.ME

发布日期: 2026-03-19

💡 一句话要点

提出主动审计与拓扑感知防御框架,提升去中心化联邦学习抵抗后门攻击能力

🎯 匹配领域: 支柱八:物理动画 (Physics-based Animation)

关键词: 去中心化联邦学习 后门攻击 主动审计 拓扑感知防御 异常检测

📋 核心要点

  1. 现有去中心化联邦学习防御方法在面对自适应后门攻击时存在局限性,难以有效检测和防御。
  2. 提出一种主动审计框架,通过私有探针压力测试本地模型,暴露传统方法难以发现的后门。
  3. 实验结果表明,该框架在抵抗隐蔽的自适应后门攻击方面优于现有防御方法,并保持了任务效用。

📝 摘要(中文)

去中心化联邦学习(DFL)极易受到自适应后门攻击的影响,这些攻击旨在绕过传统的被动防御指标。为了解决这一局限性,我们将防御范式转变为一种新颖的主动干预审计框架。首先,我们建立了一个动态模型,用于描述对抗性更新在复杂图拓扑结构中的时空扩散。其次,我们引入了一套主动审计指标,包括随机熵异常、随机平滑Kullback-Leibler散度和激活峰度。这些指标利用私有探针来压力测试本地模型,有效地暴露了传统静态检测无法发现的潜在后门。此外,我们实施了一种拓扑感知防御部署策略,以最大限度地提高全局聚合的弹性。我们为系统在协同演化的攻防动态下的收敛性提供了理论保证。在各种架构上的数值实验评估表明,我们的主动框架在缓解隐蔽的自适应后门攻击方面与最先进的防御方法相比具有很强的竞争力,同时保持了主要任务的效用。

🔬 方法详解

问题定义:去中心化联邦学习(DFL)容易受到自适应后门攻击,攻击者可以设计出绕过传统被动防御机制的恶意更新。现有防御方法,如基于梯度或模型差异的检测,在面对精心设计的自适应攻击时效果不佳。因此,需要一种更主动、更具适应性的防御策略来应对这些威胁。

核心思路:论文的核心思路是从被动防御转向主动审计。通过主动地对本地模型进行“压力测试”,即使用私有探针输入来评估模型的行为,可以更有效地暴露隐藏的后门。这种主动干预的方法能够发现那些在静态分析中难以检测到的异常行为。此外,论文还考虑了网络拓扑结构对攻击扩散的影响,并设计了拓扑感知的防御部署策略。

技术框架:该框架包含以下几个主要模块:1) 动态模型:用于描述对抗性更新在网络拓扑中的扩散过程。2) 主动审计指标:包括随机熵异常、随机平滑Kullback-Leibler散度和激活峰度,用于检测本地模型中的异常行为。3) 拓扑感知防御部署:根据网络拓扑结构,优化防御节点的部署位置,以最大限度地提高全局聚合的鲁棒性。

关键创新:该论文的关键创新在于提出了一个主动审计的防御框架,与传统的被动防御方法相比,它能够更有效地检测和防御自适应后门攻击。此外,论文还考虑了网络拓扑结构对攻击扩散的影响,并设计了拓扑感知的防御部署策略,进一步提高了防御效果。

关键设计:主动审计指标的设计是关键。随机熵异常通过测量模型输出概率分布的随机性来检测异常;随机平滑Kullback-Leibler散度通过比较模型在原始输入和扰动输入下的输出差异来检测后门;激活峰度通过测量模型中间层激活值的分布来检测异常。拓扑感知防御部署策略则利用图论算法,选择网络中的关键节点进行防御,以阻止攻击的扩散。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,该主动审计框架在抵抗自适应后门攻击方面显著优于现有防御方法。具体来说,在多个数据集和模型架构上,该框架能够在保持主要任务效用的前提下,将后门攻击的成功率降低到接近于零的水平,并且在防御效果上优于state-of-the-art的防御方法。

🎯 应用场景

该研究成果可应用于各种去中心化联邦学习场景,例如边缘计算、物联网和移动设备上的模型训练。通过提高DFL系统的安全性,可以促进在隐私敏感数据上的协作学习,并推动人工智能技术在各个领域的应用,例如医疗保健、金融和智能城市。

📄 摘要(原文)

Decentralized Federated Learning (DFL) remains highly vulnerable to adaptive backdoor attacks designed to bypass traditional passive defense metrics. To address this limitation, we shift the defensive paradigm toward a novel active, interventional auditing framework. First, we establish a dynamical model to characterize the spatiotemporal diffusion of adversarial updates across complex graph topologies. Second, we introduce a suite of proactive auditing metrics, stochastic entropy anomaly, randomized smoothing Kullback-Leibler divergence, and activation kurtosis. These metrics utilize private probes to stress-test local models, effectively exposing latent backdoors that remain invisible to conventional static detection. Furthermore, we implement a topology-aware defense placement strategy to maximize global aggregation resilience. We provide theoretical property for the system's convergence under co-evolving attack and defense dynamics. Numeric empirical evaluations across diverse architectures demonstrate that our active framework is highly competitive with state-of-the-art defenses in mitigating stealthy, adaptive backdoors while preserving primary task utility.