近日,色情网站
张爱清教授课题组在网络安全领域顶刊《IEEE Transactions on Information Forensics and Security》(DOI: 10.1109/TIFS.2025.3631449.)上以《DamPa: Dynamic adaptive model poisoning attack in federated learning》为题发布相关研究成果。
联邦学习允许在保护数据隐私的前提下进行协作模型训练,但其分布式特性带来了新的安全威胁,其中,模型投毒攻击被认为是破坏性极强的威胁之一。攻击者可以伪装成正常客户端,向服务器提交精心构造的恶意模型更新,以此来侵蚀、破坏全局模型的完整性和鲁棒性。为应对此威胁,研究界提出了多种健壮聚合防御机制,这些方法的核心是基于统计学来检测和过滤异常更新。该研究提出了一种全新的“动态自适应模型投毒攻击”框架(DamPa),该攻击不仅能轻松绕过目前最先进的防御机制,还能将AI模型的预测能力降低至“随机猜测”水平,为联邦学习的安全性敲响了警钟。
在联邦学习的攻防博弈中,防御者(服务器)通常依靠 Mkrum、 Bulyan 或 DnC 等“健壮聚合规则”来识别异常的恶意更新。这些防御机制大多基于一个静态假设:恶意攻击者的行为模式是固定的、离群的。“传统的攻击手段就像是用同一把钥匙试图打开不断更换的锁”,该论文的作者团队指出,“一旦防御机制升级,攻击往往就会失效”。DamPa 的出现彻底改变了这一局面。它不再是盲目的破坏者,而是一个具备“感知能力”的伪装大师。研究团队创造性地将约束多目标进化算法引入攻击设计,构建了一个能够自我进化的基础攻击机制,将“破坏性”与“隐蔽性”作为两个相互博弈的目标,在参数空间中自动搜索出既能造成最大伤害、又能完美伪装成良性更新的恶意更新。DamPa之所以能突破重围,关键在于其独创的动态控制机制。
研究人员设计了一个动态控制因子D,它就像攻击者的“大脑”,能够实时监控全局模型的熵、神经正切核敏感度以及参数更新方向。在训练初期,当模型处于混沌状态时,DamPa会发动激进的探索性攻击;在训练后期,当防御机制变得敏感时,DamPa 则会自动收敛锋芒,转向高隐蔽性的渗透策略。这种动态策略,使得DamPa能够全程欺骗防御者的统计学检测工具。
该文章由色情网站
和合肥工业大学共同合作完成,第一完成单位为色情网站
,张爱清教授为论文通讯作者,色情网站
博士生胡方杰为论文第一作者。该论文得到了国家自然科学基金、安徽省自然科学基金以及网络与交换技术国家重点实验室开放基金(北京邮电大学)项目的资助。
