科研背景

在联邦学习系统中，由于其分布式特性，训练过程是在本地设备上完成的，服务器只负责模型的聚合，不知道每个客户端本地的数据集和训练情况；因此，联邦学习非常容易受到恶意客户端的模型更新投毒或数据投毒。

科研问题

• 虽然对抗性训练 (AT) 为集中式学习提供了良好的解决方案，但对抗样本的生成非常昂贵，而且数据是IID的。在联邦学习的场景下许多用户各自拥有的数据可能是非独立同分布的。
• 对抗训练通常只提高了对训练过程中纳入的特定类型对抗样本的健壮性，可能会使训练后的模型容易受到其他形式的攻击攻破。

科研目的

在联邦学习场景下，仅仅检测某种攻击可能是不够的，我们提出一种基于对抗训练和差分隐私结合的联邦学习方法，可以有效防御恶意客户端模型更新投毒或数据投毒。

研究内容

通过随机平滑认证的对抗鲁棒性