聯(lián)邦學(xué)習(xí)面臨的瓶頸與挑戰(zhàn)

人工智能技術(shù)的廣泛應(yīng)用，顯著推動(dòng)了科技的發(fā)展與進(jìn)步，但同時(shí)技術(shù)的安全性和用戶的隱私安全也變得越來越重要。在大多數(shù)的機(jī)器學(xué)習(xí)架構(gòu)中，來自不同組織或設(shè)備的數(shù)據(jù)被聚集在中央服務(wù)器或云平臺中用來訓(xùn)練模型，用戶隱私難以被保障。這對機(jī)器學(xué)習(xí)的廣泛應(yīng)用來說是一個(gè)嚴(yán)重的限制性因素，特別是當(dāng)訓(xùn)練數(shù)據(jù)集包含敏感信息并因此構(gòu)成安全威脅的時(shí)候。例如，為了開發(fā)核磁共振掃描的乳腺癌檢測模型，不同的醫(yī)院可以共享他們的數(shù)據(jù)來開發(fā)協(xié)作的機(jī)器學(xué)習(xí)模型。然而，向中央服務(wù)器共享患者的私有信息可能會向外界泄露敏感信息，從而產(chǎn)生消極的影響。在這種情況下，聯(lián)邦學(xué)習(xí)可能是更好的選擇。聯(lián)邦學(xué)習(xí)是設(shè)備或組織之間的一種協(xié)作學(xué)習(xí)技術(shù)，其中來自客戶端的本地模型的模型參數(shù)被共享和聚合，但客戶端的本地?cái)?shù)據(jù)并不需要被共享。聯(lián)邦學(xué)習(xí)的概念是于2016年提出的，并將聯(lián)邦學(xué)習(xí)應(yīng)用于GoogleKeyboard程序中，可以在多部安卓手機(jī)上進(jìn)行協(xié)作學(xué)習(xí)。由于聯(lián)邦學(xué)習(xí)可以應(yīng)用于任何邊緣設(shè)備，使得其在醫(yī)療保健、交通、金融、智能家居等領(lǐng)域被廣泛應(yīng)用。雖然聯(lián)邦學(xué)習(xí)的應(yīng)用領(lǐng)域很多，但其面臨著一些新的挑戰(zhàn)。這些挑戰(zhàn)大致可分為2類：與模型訓(xùn)練有關(guān)的挑戰(zhàn)和與系統(tǒng)安全有關(guān)的挑戰(zhàn)。與模型訓(xùn)練有關(guān)的挑戰(zhàn)包括多次訓(xùn)練迭代期間的通信開銷問題、參與學(xué)習(xí)的設(shè)備的異質(zhì)性以及所用數(shù)據(jù)的異質(zhì)性，而與系統(tǒng)安全有關(guān)的挑戰(zhàn)包括用戶隱私的泄露風(fēng)險(xiǎn)、針對聯(lián)邦學(xué)習(xí)數(shù)據(jù)和模型的投毒攻擊，以及針對聯(lián)邦學(xué)習(xí)的后門攻擊。本文將介紹聯(lián)邦學(xué)習(xí)的基本過程和類別劃分以及聯(lián)邦學(xué)習(xí)的實(shí)際應(yīng)用，并通過對當(dāng)前聯(lián)邦學(xué)習(xí)面對的瓶頸與安全挑戰(zhàn)的概述，使聯(lián)邦學(xué)習(xí)系統(tǒng)的設(shè)計(jì)者可以更加方便地發(fā)現(xiàn)現(xiàn)有框架中存在的潛在漏洞，同時(shí)幫助對聯(lián)邦學(xué)習(xí)感興趣的研究人員了解聯(lián)邦學(xué)習(xí)現(xiàn)在所面臨的威脅與挑戰(zhàn)。1聯(lián)邦學(xué)習(xí)的過程與類別劃分1.1聯(lián)邦學(xué)習(xí)的過程介紹聯(lián)邦學(xué)習(xí)的過程通常包括以下4個(gè)主要步驟。（1）客戶端的選擇。服務(wù)器可以從設(shè)備池中隨機(jī)選取所需的客戶端，也可以使用自定義的算法進(jìn)行客戶端的選擇。（2）參數(shù)廣播。服務(wù)器向選定的客戶端廣播全局模型參數(shù)。（3）本地模型培訓(xùn)?？蛻羰褂闷浔镜?cái)?shù)據(jù)對模型參數(shù)進(jìn)行同步后開始模型的訓(xùn)練。（4）模型聚合?？蛻舳藢⑵溆?xùn)練好的本地模型參數(shù)發(fā)送回服務(wù)器，模型參數(shù)將向全局模型聚合。上述步驟將按照需求迭代n次，直至模型收斂或達(dá)到需求。圖1表示了聯(lián)邦學(xué)習(xí)的基本過程。圖1聯(lián)邦學(xué)習(xí)的基本過程1.2聯(lián)邦學(xué)習(xí)的類別劃分按照數(shù)據(jù)樣本特征，聯(lián)邦學(xué)習(xí)主要可以劃分為橫向聯(lián)邦學(xué)習(xí)和縱向聯(lián)邦學(xué)習(xí)。橫向聯(lián)邦學(xué)習(xí)適用于參與者的數(shù)據(jù)特征重疊較多，而樣本ID重疊較少的情況，比如兩家不同地區(qū)銀行的客戶數(shù)據(jù)?！皺M向”二字來源于數(shù)據(jù)的“橫向劃分（HorizontalPartitioning）”。橫向聯(lián)邦學(xué)習(xí)數(shù)據(jù)劃分如圖2所示，聯(lián)合多個(gè)參與者的具有相同特征的多行樣本進(jìn)行聯(lián)邦學(xué)習(xí)，即各個(gè)參與者的訓(xùn)練數(shù)據(jù)是橫向劃分的，稱為橫向聯(lián)邦學(xué)習(xí)，橫向聯(lián)邦學(xué)習(xí)可以使訓(xùn)練樣本的總數(shù)量增加。圖2橫向聯(lián)邦學(xué)習(xí)數(shù)據(jù)劃分縱向聯(lián)邦學(xué)習(xí)適用于參與者訓(xùn)練樣本ID重疊較多，而數(shù)據(jù)特征重疊較少的情況，比如兩個(gè)組織擁有同一組人的不同特征的數(shù)據(jù)，可以使用聯(lián)邦學(xué)習(xí)來構(gòu)建共享的機(jī)器學(xué)習(xí)模型?？v向聯(lián)邦學(xué)習(xí)數(shù)據(jù)劃分如圖3所示，聯(lián)合多個(gè)參與者的共同樣本的不同數(shù)據(jù)特征進(jìn)行聯(lián)邦學(xué)習(xí)，即各個(gè)參與者的訓(xùn)練數(shù)據(jù)是縱向劃分的，稱為縱向聯(lián)邦學(xué)習(xí)?？v向聯(lián)邦學(xué)習(xí)需要先做樣本對齊，即找出參與者擁有的共同的樣本，只有聯(lián)合多個(gè)參與者的共同樣本的不同特征進(jìn)行縱向聯(lián)邦學(xué)習(xí)才有意義。縱向聯(lián)邦學(xué)習(xí)可以使訓(xùn)練樣本的特征維度增多。圖3縱向聯(lián)邦學(xué)習(xí)數(shù)據(jù)劃分2聯(lián)邦學(xué)習(xí)的應(yīng)用2.1聯(lián)邦學(xué)習(xí)在交通領(lǐng)域的應(yīng)用聯(lián)邦學(xué)習(xí)在交通領(lǐng)域已經(jīng)有了諸多應(yīng)用。在無人駕駛方面，為了保持最佳的機(jī)器學(xué)習(xí)模型和模型做出最優(yōu)決策的能力，提出了一種基于自主區(qū)塊鏈的聯(lián)邦學(xué)習(xí)架構(gòu)（Blockchain-BasedFederatedLearning，BFL）設(shè)計(jì)，該設(shè)計(jì)使用區(qū)塊鏈的共識機(jī)制來實(shí)現(xiàn)車載機(jī)器學(xué)習(xí)（On-VehicleMachineLearning，oVML）。結(jié)合基于契約理論的激勵(lì)機(jī)制，設(shè)計(jì)出一個(gè)新的聯(lián)邦學(xué)習(xí)框架，該框架可用于通信鏈路不穩(wěn)定和復(fù)雜環(huán)境條件下的車輛間聯(lián)邦學(xué)習(xí)以及模型控制器的自主優(yōu)化。2.2聯(lián)邦學(xué)習(xí)在醫(yī)療領(lǐng)域的應(yīng)用在醫(yī)療領(lǐng)域，隨著個(gè)人電子健康信息的普及，對患者數(shù)據(jù)的保護(hù)通常會形成局部的數(shù)據(jù)孤島，這使得醫(yī)療系統(tǒng)難以通過廣泛的數(shù)據(jù)集建立起可靠的醫(yī)療輔助診斷模型。而聯(lián)邦學(xué)習(xí)的方式可以很好地保護(hù)患者的隱私，使所訓(xùn)練的診斷模型可以充分利用更多數(shù)據(jù)集，進(jìn)而大大提高診斷模型的準(zhǔn)確性。2020年，Xu等人

通過聯(lián)邦學(xué)習(xí)的方式開發(fā)出一種可用于新型冠狀病毒診斷的模型系統(tǒng)，該系統(tǒng)可以在不損害患者隱私的情況下準(zhǔn)確地對患者病情進(jìn)行診斷。2.3聯(lián)邦學(xué)習(xí)在金融領(lǐng)域的應(yīng)用隨著數(shù)字時(shí)代的到來，金融犯罪也出現(xiàn)了新的形式，給銀行和消費(fèi)者造成了巨大損失。同時(shí)客戶也非常關(guān)注其私人財(cái)務(wù)信息能否得到有效保護(hù)。因此，在機(jī)器學(xué)習(xí)技術(shù)與金融行業(yè)結(jié)合的過程中，如何保護(hù)好金融用戶的隱私信息是一個(gè)重要的研究方向。聯(lián)邦學(xué)習(xí)無須共享數(shù)據(jù)的方式為使用深度學(xué)習(xí)訓(xùn)練模型提供了一種新思路，每組數(shù)據(jù)的所有者可以在不進(jìn)行客戶私人信息共享的情況下進(jìn)行協(xié)作，這樣防止了客戶私人信息的泄露，確保了數(shù)據(jù)安全。提出了一種雙邊隱私保護(hù)的聯(lián)邦學(xué)習(xí)方案，該方案可以保護(hù)訓(xùn)練過程中的迭代參數(shù)，同時(shí)在考慮客戶端隱私的基礎(chǔ)上，進(jìn)一步保護(hù)模型參數(shù)不被外部攻擊者獲取。3聯(lián)邦學(xué)習(xí)面臨的瓶頸聯(lián)邦學(xué)習(xí)雖然已被應(yīng)用于交通、醫(yī)療以及金融等諸多領(lǐng)域，并且對相關(guān)的用戶隱私進(jìn)行了有效保護(hù)，但其作為一個(gè)分布式的機(jī)器學(xué)習(xí)系統(tǒng)，在現(xiàn)在的發(fā)展階段仍面臨著制約其快速發(fā)展的瓶頸問題，下面將介紹聯(lián)邦學(xué)習(xí)所面臨的幾種典型的瓶頸問題。3.1通信開銷問題聯(lián)邦學(xué)習(xí)中的通信開銷問題是聯(lián)邦學(xué)習(xí)的主要瓶頸之一。隨著深度神經(jīng)網(wǎng)絡(luò)的發(fā)展，模型變得非常復(fù)雜，每一輪迭代中變化的模型參數(shù)也大大增加，聯(lián)邦學(xué)習(xí)在每一輪訓(xùn)練的過程中需要將這些參數(shù)上傳和下發(fā)，這相較于傳統(tǒng)的機(jī)器學(xué)習(xí)會增加巨大的通信開銷。目前減少聯(lián)邦學(xué)習(xí)過程中通信的開銷都是以增加客戶端本地的計(jì)算量為代價(jià)，將更多的計(jì)算放在本地執(zhí)行，以此減少通信的輪次和通信過程中傳遞的參數(shù)數(shù)量。隨著客戶端計(jì)算能力的不斷提高，這種方法的弊端正在逐漸減弱，因此以增加計(jì)算量的方式來減小通信的代價(jià)總體上來說是可行的。3.2數(shù)據(jù)的非獨(dú)立同分布通常情況下，機(jī)器學(xué)習(xí)的數(shù)據(jù)集是獨(dú)立同分布的，而聯(lián)邦學(xué)習(xí)的數(shù)據(jù)集卻常常以非獨(dú)立同分布（Non-IndependentIdenticallyDistribution，Non-IID）的方式存在，這就對聯(lián)邦學(xué)習(xí)的實(shí)際落地形成了挑戰(zhàn)。針對Non-IID數(shù)據(jù)導(dǎo)致的聯(lián)邦學(xué)習(xí)效率下降的問題，可以從性能、算法、模型等方面對聯(lián)邦學(xué)習(xí)進(jìn)行優(yōu)化。聯(lián)邦學(xué)習(xí)的訓(xùn)練效率很大程度上都和Non-IID數(shù)據(jù)有關(guān)，如果從Non-IID數(shù)據(jù)本身著手，也可以對聯(lián)邦學(xué)習(xí)效率的提升有很大的幫助。此外，聯(lián)邦平均算法（FederatedAverageAlgorithm，F(xiàn)edAvg）是聯(lián)邦學(xué)習(xí)中使用最為廣泛的算法之一，該算法通過權(quán)重更新來更新全局模型，但只考慮到客戶端數(shù)據(jù)量的大小，并未考慮到客戶端數(shù)據(jù)質(zhì)量對整體模型的影響。因此優(yōu)化聯(lián)邦學(xué)習(xí)算法，使其能夠適用于不同數(shù)據(jù)質(zhì)量的情形非常關(guān)鍵。3.3系統(tǒng)和數(shù)據(jù)的異質(zhì)性聯(lián)邦學(xué)習(xí)網(wǎng)絡(luò)中的客戶端系統(tǒng)通常會有多種類別，系統(tǒng)的異質(zhì)性以及來自設(shè)備的數(shù)據(jù)的不平衡、不一致分布會顯著影響聯(lián)邦學(xué)習(xí)模型的性能。并且客戶端的龐大數(shù)量和不一致性可能會使模型的可靠性下降。經(jīng)典的FedAvg對系統(tǒng)異構(gòu)性不夠健壯。針對聯(lián)邦學(xué)習(xí)系統(tǒng)異構(gòu)性的問題，可以通過修改模型聚合算法的方式來進(jìn)行優(yōu)化。4聯(lián)邦學(xué)習(xí)的安全問題與防御機(jī)制在上一節(jié)中介紹了聯(lián)邦學(xué)習(xí)所面臨的瓶頸問題，這些瓶頸制約著聯(lián)邦學(xué)習(xí)的發(fā)展，但同時(shí)聯(lián)邦學(xué)習(xí)也會面臨著一些安全方面的挑戰(zhàn)，影響著聯(lián)邦學(xué)習(xí)技術(shù)是否可以落地。本節(jié)將討論聯(lián)邦學(xué)習(xí)背景下的安全問題，介紹針對聯(lián)邦學(xué)習(xí)常見的攻擊手段和防御機(jī)制。4.1隱私泄露盡管在聯(lián)邦學(xué)習(xí)中用戶的原始數(shù)據(jù)不會離開本地設(shè)備，不需要數(shù)據(jù)共享，并且允許參與者自由加入和離開，但仍有許多辦法可以推斷出聯(lián)邦學(xué)習(xí)中使用的訓(xùn)練數(shù)據(jù)信息。因?yàn)樵谡麄€(gè)培訓(xùn)過程中更新和傳達(dá)的模型信息可能會暴露出用戶的敏感信息（如性別、年齡、愛好），甚至?xí)l(fā)生深度泄露，即使是一小部分原始梯度也可以揭示出有關(guān)用戶數(shù)據(jù)的信息。NeurIPS2019的最新研究表明，惡意攻擊者可以通過有限次的操作從梯度中竊取到訓(xùn)練數(shù)據(jù)。目前，主要的防止隱私泄露的技術(shù)有安全計(jì)算、差分隱私以及為聯(lián)邦學(xué)習(xí)構(gòu)建可信的執(zhí)行環(huán)境。防御機(jī)制1：安全計(jì)算。安全計(jì)算包括安全多方計(jì)算（SecureMulti-PartyComputation，SMC）和同態(tài)加密兩種主要技術(shù)。SMC是指從每一方的隱私輸入中協(xié)作計(jì)算一個(gè)函數(shù)的結(jié)果，而計(jì)算結(jié)果的過程不需要將輸入展示給其他方。SMC保證了參與方在獲得正確結(jié)果的同時(shí)，無法獲得計(jì)算結(jié)果之外的任何信息。SMC可以通過不經(jīng)意傳輸（ObliviousTransfer，OT）、秘密共享（SecretSharing，SS）和閾值同態(tài)加密3種不同的框架來實(shí)現(xiàn)。在同態(tài)加密中，計(jì)算是在加密輸入上執(zhí)行的，而不需要首先解密。在過去，同態(tài)加密因?yàn)榫薮蟮挠?jì)算量開銷，在機(jī)器學(xué)習(xí)領(lǐng)域的應(yīng)用比較少，但由于技術(shù)的發(fā)展，使得設(shè)備的計(jì)算能力顯著提高，人們對隱私保護(hù)的需求遠(yuǎn)遠(yuǎn)大于對計(jì)算資源的需求，同態(tài)加密技術(shù)進(jìn)而也逐步應(yīng)用到聯(lián)邦學(xué)習(xí)中。防御機(jī)制2：差分隱私（DifferentialPrivacy，DP）。在差分隱私方案中，通過在模型聚合前將噪聲添加到模型參數(shù)中來屏蔽用戶的信息，從而達(dá)到對用戶隱私保護(hù)的效果。但是在參數(shù)中添加噪聲會損失一定的模型精度，使聯(lián)邦學(xué)習(xí)模型的收斂效果變差。防御機(jī)制3：可信執(zhí)行環(huán)境（TrustedExecution

Environment，TEE）?？尚艌?zhí)行環(huán)境提供了一個(gè)安全的平臺，通過分配計(jì)算資源的私有區(qū)域（例如內(nèi)存），可以提供硬件和軟件隔離，以較低的計(jì)算開銷運(yùn)行聯(lián)邦學(xué)習(xí)模型，在不影響準(zhǔn)確性和效率的情況下，保證了聯(lián)邦學(xué)習(xí)的數(shù)據(jù)隱私。與同態(tài)加密等傳統(tǒng)軟件保護(hù)相比，TEE提供了更低的開銷和更高的隱私，但是當(dāng)前的TEE環(huán)境僅適用于CPU設(shè)備。4.2數(shù)據(jù)投毒攻擊數(shù)據(jù)投毒是機(jī)器學(xué)習(xí)領(lǐng)域常見的攻擊之一，其中攻擊者向訓(xùn)練集中添加訓(xùn)練數(shù)據(jù)，從而對聯(lián)邦學(xué)習(xí)的訓(xùn)練模型進(jìn)行操控，進(jìn)而影響全局模型的準(zhǔn)確性。數(shù)據(jù)投毒攻擊可以分為白標(biāo)簽攻擊和臟標(biāo)簽攻擊。白標(biāo)簽攻擊不要求攻擊者控制訓(xùn)練數(shù)據(jù)的標(biāo)記，而是控制分類器在特定測試實(shí)例上的行為，且不會降低總體分類器性能。例如，攻擊者可以添加看似無害的圖像（這是正確的標(biāo)記）到人臉識別引擎的訓(xùn)練集并在測試時(shí)控制所選人員的身份。由于攻擊者不需要控制標(biāo)記，因此只要將毒物留在網(wǎng)絡(luò)上，等待數(shù)據(jù)收集機(jī)器人抓取毒物，就可以將毒物輸入到訓(xùn)練集中。提出了一種優(yōu)化的毒物制作方法，并通過實(shí)驗(yàn)表明在使用遷移學(xué)習(xí)時(shí)，僅一幅毒化圖像就可以控制分類器的行為。臟標(biāo)簽攻擊需要攻擊者對訓(xùn)練數(shù)據(jù)的標(biāo)記進(jìn)行破壞，使一類正常數(shù)據(jù)的標(biāo)簽被替換為其他類型數(shù)據(jù)的標(biāo)簽，用這種混亂的數(shù)據(jù)對模型開展訓(xùn)練的話會使模型的行為發(fā)生錯(cuò)亂，無法正確地執(zhí)行分類任務(wù)，以此達(dá)成攻擊者的目的。防御機(jī)制：對數(shù)據(jù)投毒攻擊的異常檢測包括通用方法和特定方法兩類，通用方法可以檢測出所有種類的數(shù)據(jù)中毒樣本，像基于生成對抗網(wǎng)絡(luò)（GenerativeAdversarialNetworks，GAN）的De-Pois模型，是檢測中毒樣本的通用且有效的方法。通過GAN生成與干凈數(shù)據(jù)分布相似的訓(xùn)練數(shù)據(jù)，基于生成的數(shù)據(jù)來訓(xùn)練模仿模型。De-Pois能夠有效區(qū)分毒化樣本和干凈樣本。而特定方法僅能識別特定類別的數(shù)據(jù)投毒樣本。Levine等人提出的兩種針對特定數(shù)據(jù)投毒的認(rèn)證防御方法——深度分區(qū)聚合（DeepPartition

Aggregation，DPA）和半監(jiān)督DPA（Semi-Supervised

DPA，SS-DPA），可以檢測特定種類的數(shù)據(jù)投毒攻擊。4.3模型投毒攻擊模型投毒攻擊類似于數(shù)據(jù)投毒攻擊，攻擊者將本地模型的更新參數(shù)毒害后發(fā)送到服務(wù)器。模型中毒攻擊背后的主要?jiǎng)訖C(jī)是要在全局模型中引入錯(cuò)誤。攻擊者通過破壞某些設(shè)備并修改其局部模型參數(shù)來發(fā)起模型投毒攻擊，從而影響全局模型的準(zhǔn)確性。Fang等人通過模型投毒攻擊對4種拜占庭式的健壯聯(lián)邦學(xué)習(xí)方法進(jìn)行攻擊，在MNIST、Fashion-MNIST、CHMNIST數(shù)據(jù)集上建立的評估結(jié)果表明，模型投毒攻擊可以顯著提高全局模型的錯(cuò)誤率，攻擊效果有顯著提高。防御機(jī)制：模型投毒攻擊的防御與數(shù)據(jù)投毒攻擊的防御類似。較為常見的防御措施可以分為：基于錯(cuò)誤率（ErrorRatebasedRejection，ERR）的防御；基于損失函數(shù)（LossFunctionbasedRejection，LFR）的防御；ERR+LFR聯(lián)合的防御。（1）基于錯(cuò)誤率的防御。通過計(jì)算每個(gè)局部模型對驗(yàn)證數(shù)據(jù)集錯(cuò)誤率的影響來刪除對錯(cuò)誤率有較大負(fù)面影響的局部模型。具體來說，假設(shè)有一個(gè)聚合算法，對于每個(gè)局部模型，我們使用聚合規(guī)則來計(jì)算全局模型A（包括某個(gè)局部模型）和全局模型B（排除某個(gè)局部模型）。我們通過計(jì)算來驗(yàn)證數(shù)據(jù)集上全局模型A和B的錯(cuò)誤率，進(jìn)而刪除：一些使全局錯(cuò)誤率顯著提高的局部模型，并聚合其他局部模型以獲得更新的全局模型。（2）基于損失函數(shù)的防御。在這種防御中，我們是根據(jù)局部模型對損失的影響而不是驗(yàn)證數(shù)據(jù)集的錯(cuò)誤率來移除局部模型。具體來說，就像基于錯(cuò)誤率的拒絕一樣，對于每個(gè)局部模型，計(jì)算全局模型A和B，并驗(yàn)證數(shù)據(jù)集上模型A和模型B的交叉損失函數(shù)值，分別表示為LA和LB。此外，定義LA?LB作為局部模型的損失影響。與基于錯(cuò)誤率的拒絕一樣，刪除具有最大損失影響的局部模型，并聚合剩余的局部模型以更新全局模型。（3）ERR+LFR聯(lián)合的防御。結(jié)合了ERR和LFR的策略。具體來說，就是刪除被ERR或LFR拒絕的本地模型。以上的3種防御方式，LFR的防御比ERR的防御更有效，LFR可以實(shí)現(xiàn)比ERR更小的測試錯(cuò)誤率。而ERR+LFR聯(lián)合的方式會比LFR更好。值得注意的是，在某些情況下，部署防御措施后，錯(cuò)誤率反而會增長，這是因?yàn)榉烙胧┛赡軙瞥夹缘木植磕Ｐ停瑥亩黾尤帜Ｐ偷臏y試錯(cuò)誤率。4.4后門攻擊后門攻擊是指攻擊者利用聯(lián)邦學(xué)習(xí)模型更新過程中的匿名特性，將后門功能引入到全局模型中，比如通過修改圖像分類器，將攻擊者選擇的標(biāo)簽分配給具有特定特征的圖像，或強(qiáng)制單詞預(yù)測器使用攻擊者選擇的單詞完成特定句子，后門攻擊的效果大大優(yōu)于數(shù)據(jù)投毒。使用后門，攻擊者可以在不影響全局模型準(zhǔn)