arXiv:2503.23288v1 宣告类型: cross 摘要：联邦学习是一种流行的范式，使远程客户端能够在不共享原始数据的情况下共同训练全局模型。然而，由于其分布式特性，联邦学习已被证明对模型中毒攻击易受攻击。特别是，充当参与者的攻击者可以上传任意模型更新，从而有效破坏联邦学习的全局模型。尽管大量的研究集中于对抗这些攻击，但我们发现，大多数研究假设远程客户端的数据是i.i.d.的，而在实践中，数据是不可避免地非i.i.d.的。我们的基准评估显示，现有的防御措施普遍未能兑现其声誉，特别是在应用到各种非i.i.d.场景时。在本文中，我们提出了一种名为GeminiGuard的新颖方法，旨在解决这种显著的差距。我们设计GeminiGuard使其轻量级、通用且无需监督，以便与部署此类防御的实际需求相契合。非i.i.d.带来的主要挑战是，它们使得良性模型更新看起来更像恶意的更新。GeminiGuard主要基于两个基本观察构建：(1) 基于模型权重分析或潜在空间分析的现有防御措施在覆盖不同的MPA和非i.i.d.场景方面存在局限性；(2) 模型权重分析和潜在空间分析是足够不同的、但潜在互补的方法。因此，我们在GeminiGuard中整合了一种新颖的模型权重分析组件以及一种自定义的潜在空间分析组件，旨在进一步提高其防御性能。我们进行了广泛的实验以在各种环境下评估我们的防御措施，证明了其在对抗多种未针对性的和针对性的MPA（包括适应性MPA）方面的有效性。我们的全面评估表明，GeminiGuard在各种环境下都持续超越当前最先进的防御措施。