FedGuard：面向多数恶意客户端的联邦学习多样化拜占庭鲁棒机制

联邦学习作为一种分布式训练框架，容易受到拜占庭攻击，特别是在超过50%的客户端为恶意节点或数据集呈现高度非独立同分布（non-IID）特性时。此外，现有防御机制大多针对特定攻击类型设计（例如基于梯度相似性的方案仅能防御异常模型投毒），限制了其有效性。

为此，我们提出FedGuard——一种新型联邦学习机制。FedGuard巧妙利用成员推理对模型偏差的高度敏感性来解决上述问题。通过要求客户端在训练时额外包含服务器指定的迷你数据批次，FedGuard能够识别并排除毒化模型，因为这些模型在该迷你批次上的置信度会显著下降。

我们的全面评估明确表明：在三种高度非IID数据集下，当90%的客户端为拜占庭节点且每轮存在七种不同类型的拜占庭攻击时，FedGuard在缓解各类拜占庭攻击方面显著优于现有的鲁棒联邦学习方案。