后门准确率降至3%，主任务性能几乎不变！华工JHU提出全新「联邦学习后门攻击识别」解决方案｜ICCV2023

论文地址：http://arxiv.org/abs/2303.06601

研究在缓解「维度诅咒」的基础上，提出了一种Multi-metrics的动态框架，以强大的后门识别能力将Edge-case PGD攻击的后门准确率降低至惊人3.06%，并且保持着几乎不变的主任务准确率84%，大大提高了联邦学习框架的鲁棒性。

联邦学习（FL）的分散性和隐私保护性使其很容易受到后门攻击，这些攻击的目的是在对手选择的特定输入上操纵生成模型的行为。

实验还证明，研究人员提出的方法可以很好地适应各种非IID度，而不会牺牲良性性能。

曼哈顿距离缓解维度诅咒

Multi-metrics 框架

即便曼哈顿距离有着更好的识别效力，但研究人员并不认为在识别后门攻击时，曼哈顿就能完全替代欧氏距离。

与其他防御比较起来，研究人员提出的方法展现出了巨大的优势，尤其是在面对隐形后门Edge-case PGD，只有这种方法和Flame可以对其有效的防御。

其中Flame还会伴随着主任务性能的明显下降，而新方法几乎没有这种损失。

从训练曲线上看，研究人员提出的方法也有着独树一帜的效果。

此外，研究人员也通过充分的消融实验说明了新方法的有效性。

上图展示了在不同攻击场景下，起主导作用（权重最大）的距离特征的频率。可以看到，在面对不同攻击时，方法分给每个特征的权重是不同的。