面向縱向聯邦學習的對抗樣本生成算法

陳曉霖，昝道廣，吳炳潮，關貝，王永吉

（1.中國科學院軟件研究所協同創新中心，北京 100190；2.中國科學院大學計算機科學與技術學院，北京 100049；3.中國科學院軟件研究所集成創新中心，北京 100190）

0 引言

作為人工智能訓練的基礎，數據在推動機器學習的發展中扮演著核心角色。據預測，互聯網數據量在2025 年將暴增至175 ZB[1]。而伴隨全球范圍內公眾對數據安全的日益關注以及數據安全相關法律法規的實施，數據在各機構與企業間的流通受到嚴格約束[2-4]。因此，研究合規的數據獲取和使用方法成為人工智能領域的重要挑戰。自2016 年谷歌公司首次將聯邦學習[5]作為一種解決方案以來，它便受到了廣泛的關注。

根據Yang 等[6]的劃分方式，聯邦學習應用可以按照數據分布分為橫向聯邦學習與縱向聯邦學習（VFL）2 種類型。橫向聯邦學習針對的是參與方數據樣本空間不同而數據特征空間相同的情況?？v向聯邦學習針對的是參與方數據特征空間不同而數據樣本空間相同的情況，這種建模方式適用于不同業務屬性的參與方協同建模?？v向聯邦學習在國內不同領域得到了廣泛應用。例如，微眾銀行[7]使用本地持有的用戶授信數據和合作公司持有的用戶消費信息構建了風控領域的縱向聯邦神經網絡，提高了風險識別能力；字節跳動公司[8]通過縱向聯邦樹模型引入外部數據源構建了一個推薦領域的縱向聯邦樹模型，廣告投放增效209%；此外，縱向聯邦模型還應用到智能制造[9]和智能電網[10]等領域，在保護數據隱私的同時處理預測任務。

隨著縱向聯邦學習的廣泛應用，其安全性問題逐漸受到研究人員關注。Zhu 等[11]提出了梯度泄露問題，在該問題中，建模過程的中間傳輸變量或傳輸梯度會泄露一部分的原始數據信息，惡意參與方據此可以推理原始數據。此后，許多研究人員分別在模型訓練階段和推理階段設計了不同的攻擊方案。在訓練階段，Weng 等[12]針對邏輯回歸模型和集成樹模型通過反向乘法攻擊和反向求和攻擊的方式重構原始數據；Fu 等[13]針對縱向聯邦學習網絡提出了3 種標簽推理攻擊的方式，包括補全本地模型的被動標簽推理攻擊、增加本地模型權重占比的主動標簽推理攻擊以及梯度標簽的直接標簽推理攻擊。在推理階段，Luo 等[14]提出了一種模型逆向攻擊的通用推理框架，該框架借助生成模型并通過觀察模型的輸出來反向更新恢復樣本的原始數據；Jin 等[15]則利用樣本對齊提供的樣本空間信息，采用逐層迭代的方法來恢復原始數據；Yang 等[16]利用零階梯度估計的方式計算模型參數構造推理模型，從而對原始數據進行特征推理攻擊。這些方法的攻擊目標是縱向聯邦數據的隱私性，而縱向聯邦學習模型同樣可能受到惡意參與方數據篡改，引發模型安全性威脅，例如本文研究的對抗攻擊。

聯邦學習的對抗攻擊指的是惡意參與方在推理階段利用持有的樣本部分特征構建對抗樣本，削弱全局模型的預測能力?？v向聯邦學習場景具備高通信成本、快速模型迭代和數據分散式存儲的特點，具體如下。1)縱向聯邦學習框架在實現模型的協同訓練或推理過程中，各參與節點需要進行多輪次的參數和數據交換，這造成了極大的通信成本[17]和計算負擔[18]。2)縱向聯邦學習模型在應用及上線過程中會定期進行版本迭代以適應數據的變化并提升模型性能。③在縱向聯邦學習場景中，數據被分散存儲于不同的參與方本地[6]，惡意參與方僅能獲得本地特征空間權限，并通過勾結或推理攻擊[14-15]來獲取部分樣本空間的其他特征數據，而獲取全局樣本空間是有挑戰性的?；谏鲜鰣鼍疤攸c，縱向聯邦場景下生成的對抗樣本需要具備較高的生成效率、魯棒性及泛化能力。

為了解決上述問題，本文首先對縱向聯邦學習場景中的對抗攻擊、集中式機器學習的對抗樣本生成算法和生成對抗網絡進行理論介紹；其次，提出了縱向聯邦學習的對抗樣本生成框架并擴展6 種集中式機器學習對抗樣本生成算法作為基線算法；再次，在上述框架下提出了一種生成算法VFL-GASG；最后，通過實驗驗證所提算法相比于其他算法在效率、魯棒性和泛化性方面的能力，并進一步驗證實驗參數對攻擊效果的影響。本文貢獻主要包括以下3 個方面。

1) 本文在縱向聯邦學習場景下提出了一種具備高擴展性的白盒對抗樣本生成框架，惡意參與方通過局部樣本特征構造對抗樣本從而影響模型的準確性，該框架可以適用于基于有限內存的擬牛頓求解（L-BFGS）[19]、符合梯度法（FGSM）[20]等多種集中式機器學習對抗樣本生成策略。

2) L-BFGS、FGSM 等對抗樣本生成算法均基于輸入迭代構造對抗樣本，而縱向聯邦學習環境中獲取全局樣本空間是有挑戰性的。本文在上述框架下提出了一種基于生成對抗網絡的對抗樣本生成算法VFL-GASG，該算法將本地特征的隱層向量作為先驗知識訓練生成模型，經由反卷積網絡產生精細的對抗性擾動，然后借助生成模型從少量樣本中學習到對抗性擾動的通用生成算法，從而有較好的泛化能力。

3) 本文在MNIST 和CIFAR-10 等數據集上通過實驗驗證了VFL-GASG 算法在效率、泛化性、魯棒性方面的表現。此外，實驗發現，即使在只有惡意參與方數量和所持特征數量較少的情況下，對抗攻擊也會顯著影響模型的性能。最后，通過實驗驗證不同實驗參數對于對抗攻擊的影響。

1 理論基礎

1.1 縱向聯邦學習的對抗攻擊

1.1.1縱向聯邦學習架構

縱向聯邦學習的參與方數據集在樣本維度上有重疊，但在特征維度上分布不同，即不同特征空間的參與方在中央服務器的協調下進行聯合建模。圖1 是一種典型的縱向聯邦學習訓練流程。①中央服務器和各參與方進行樣本對齊，使不同參與方的樣本空間同步；②參與方依據本地特征和本地模型進行模型計算，并將結果上傳作為全局模型的輸入；③中央服務器收到上傳數據后，依據全局模型進行模型計算；④中央服務器計算梯度和損失，并將梯度進行反向傳播；⑤中央服務器和參與方分別更新全局模型與本地模型；⑥重復②～⑤，直到達到收斂條件?？v向聯邦學習推理架構和圖1 相似，由于不涉及模型更新，通過①～③就能完成數據推理。多種縱向聯邦學習模型均在上述框架下進行部署，如 SecureBoost[21]、Fed-VGAN[22]和SplitNN[23]等。

圖1 縱向聯邦學習訓練流程

1.1.2威脅模型

本文假設縱向聯邦學習網絡中存在某個惡意的參與方，該參與方利用訓練完全的目標模型構造對樣本進行攻擊?？v向聯邦學習場景下的威脅模型通過以下3 個部分進行刻畫。

1) 攻擊目標

惡意參與方進行對抗攻擊的目標是通過在本地所持推理樣本的部分特征上添加對抗性擾動，從而使模型在推理樣本上分類錯誤。因此，本文所提算法的攻擊效果可以由目標模型在推理集合上分類準確率的下降幅度來度量。

2) 攻擊知識

在縱向聯邦學習架構中，惡意參與方能夠獲取其本地數據以及本地模型的詳細信息，并且具有訓練及推理過程的模型輸出和傳遞參數的完整知識。然而，對于其他參與方的信息，由于存在數據分布和模型架構的差異性，惡意參與方僅能獲取其他參與方的嵌入層信息，而無法獲知其他參與方的本地數據及模型結構等具體信息。

3) 攻擊能力

在縱向聯邦學習攻擊過程中，惡意參與方可能執行如下操作。①惡意參與方篡改本地數據，以此擾亂模型的訓練和推理過程。②惡意參與方修改本地模型和參數信息，并調用全局模型。③惡意參與方通過觀測每個通信輪次的模型輸出及嵌入層信息來推測其他參與方的信息。

在橫向聯邦學習攻擊過程中，惡意參與方的攻擊能力主要聚焦于訓練過程的操控，包括在訓練階段篡改數據、模型和參數等信息，以及通過觀測信息推測數據隱私。然而，在推理過程中，參與方使用服務器分發的全局模型對本地數據進行獨立推理，其推理過程不易受其他參與方的干擾。因此，橫向聯邦學習中的惡意參與方在推理階段的攻擊威脅性較低[24]，如本文中的對抗攻擊。盡管目前的研究中許多學者采用對抗樣本的生成算法在橫向聯邦學習的訓練過程中實現數據投毒[25]或增強模型性能[26]，但這并不屬于推理過程的對抗攻擊問題。相比之下，縱向聯邦學習需要依靠多參與方進行聯合推理，惡意參與方可以通過注入對抗性擾動至本地特征，干擾聯合推理的結果。相較于橫向聯邦學習，縱向聯邦學習更容易受到不可信來源的參與方對抗攻擊的威脅。

1.2 集中式機器學習對抗樣本生成算法

集中式機器學習與聯邦學習的分布式策略有所不同，其中心節點通常需要匯總并處理所有數據以訓練和推理機器學習模型。Szegedy 等[19]首次在集中式機器學習環境中提出了對抗攻擊的概念，并向中心節點的真實樣本添加微小擾動，盡管這些擾動并未顯著改變樣本的整體特性，卻可能導致機器學習模型分類錯誤。集中式機器學習的對抗樣本生成流程如圖2所示。中心節點將訓練好的分類模型作為對抗攻擊的目標模型；然后，通過向原始圖像添加擾動生成對抗樣本，并通過目標模型的輸出進行擾動迭代；直至滿足設定條件，從而生成最終的對抗樣本。

圖2 集中式機器學習的對抗樣本生成流程

在集中式機器學習環境中，已經發展出了多種對抗樣本生成策略，其中代表性方法包括基于優化求解策略的L-BFGS[19]和C&W（Carlini&Wagner）[27]，基于梯度迭代策略的 FGSM[20]、I-FGSM[28]、MI-FGSM[29]，以及基于像素級擾動策略的顯著圖攻擊（JSMA）[30]。下面介紹不同對抗樣本生成算法的理論部分。

1) L-BFGS

Szegedy 等[19]最早提出了集中式機器學習的對抗樣本生成算法L-BFGS，該方法將對抗樣本的擾動計算轉化為如下問題并通過擬牛頓法求解

其中，x是輸入的原始圖像特征，l是錯誤的分類標簽，r是需要加入的對抗性擾動向量，? 是損失函數。

2) FGSM

Goodfellow 等[20]提出了FGSM 方法，該方法通過計算模型損失相對于輸入數據的梯度，在有限擾動的情況下沿著損失函數最大化的方向進行更新。對抗性擾動表示為

其中，?用于控制擾動大小，x和y分別是輸入圖像特征和真實標簽。

3) I-FGSM

Kurakin 等[28]采用迭代的策略，將增大分類器損失函數的過程分解為多個迭代步驟，迭代過程為

其中，α表示每次迭代的步長；Clip 表示裁剪函數，其對生成樣本的每個像素進行裁剪，使迭代數據保持在原始圖像的?鄰域范圍內。

4) MI-FGSM

Dong 等[29]為了提升攻擊的成功率，通過動量迭代來替代I-FGSM 中的梯度迭代信息策略，同時引入歷史擾動來規避迭代過程可能產生的局部最優問題，提高迭代過程的穩定性。該過程可表示為

其中，rt+1和xt+1分別表示第t+1次迭代產生的擾動和對抗樣本，μ表示衰減因子。

5) C&W

Carlini 等[27]則在L-BFGS 的優化問題基礎上，通過映射變換解決像素溢出的問題，并引入置信度函數來控制錯誤概率。優化問題表示為

6)JSMA

Papernot 等[30]提出一種通過類別梯度生成像素顯著圖來篩選干擾像素對的方法。顯著性映射為

其中，Zl(x)表示x在分類層l類上的輸出。該方法利用顯著圖來篩選出對目標模型分類輸出影響最大的特征對，并在對應像素點上施加擾動。

1.3 生成對抗網絡

生成對抗網絡（GAN,generative adversarial network）由Goodfellow 等[31]提出，它由生成器G和判別器D 兩部分組成。GAN 的核心思想是通過生成器和判別器的對抗訓練，學習數據的隱含分布，從而生成與真實數據相似的樣本。具體來說，生成器G接收低維隨機噪聲作為輸入并輸出偽造樣本，其目標是生成能夠欺騙判別器的樣本，使判別器難以區分真實樣本和生成的偽造樣本。判別器D 的任務是對輸入樣本進行判斷，輸出其作為真實樣本的概率。綜合考慮生成器和判別器的優化目標，可以表示為

自Goodfellow 首次提出生成對抗網絡以來，許多研究者對其進行了改進。Arjovsky 等[32]采用Wasserstein 距離作為損失函數以緩解訓練過程的梯度消失問題。Radford 等[33]提出了深度卷積生成對抗網絡（DCGAN,deep convolutional generative adversarial network），這種方法將GAN 中的生成器全連接層替換為反卷積層，顯著降低了模式坍塌現象出現的頻率。在DCGAN 方法中，卷積層通過滑動窗口機制有效地提取高維圖像特征，反卷積層則利用這些特征以逆卷積的操作進行圖像重建。該方法顯著地提高了在圖像生成任務中生成對抗網絡的訓練穩定性。

2 縱向聯邦學習對抗樣本生成

2.1 問題定義

即最小化惡意參與方對抗性擾動的同時，使中央服務器全局模型在對抗樣本上分類錯誤。表1 定義了縱向聯邦學習對抗樣本生成的相關參數。

表1 相關參數

2.2 縱向聯邦學習對抗樣本生成框架

如圖3 所示，本文提出的縱向聯邦學習對抗樣本生成框架的流程如下：首先，每個參與方根據其本地模型和數據生成全局模型的輸入；接著，聯邦學習服務器根據全局模型執行計算，產生用于擾動的更新參數，并反饋給各個參與方，惡意參與方根據回傳梯度等參數更新對抗樣本；之后，對抗樣本被作為惡意參與方的本地模型輸入，經迭代更新，直至達到預設迭代次數或其他條件；最終，輸出完成的對抗樣本。詳細過程如算法1 所示。

圖3 縱向聯邦學習對抗樣本生成框架

算法1縱向聯邦學習對抗樣本生成框架

在該框架下，集中式機器學習對抗樣本生成策略可以擴展至縱向聯邦學習場景中，本文擴展了多種生成算法，如表2 所示，其中，VFL-LBFGS 和VFL-C&W 通過優化策略生成對抗樣本，VFL-JSMA 采用像素級擾動方法生成對抗樣本，VFL-FGSM、VFL-IFGSM 和VFL-MIFGSM 則是通過梯度迭代更新的方式產生擾動，這些算法將作為基準算法參與后續實驗驗證。

表2 縱向聯邦學習對抗樣本生成算法

2.3 基于GAN 的對抗樣本生成

為了解決對抗性擾動的通用性問題，本文在算法1 框架下提出了一種基于GAN 的對抗樣本生成算法VFL-GASG。其中，生成器負責生成噪聲并將其注入真實樣本形成對抗樣本；判別器則對真實樣本和對抗樣本進行分類，以便更精確地辨別這2 類樣本。該過程可分為模型訓練和對抗樣本生成2 個階段。模型訓練階段指的是利用訓練樣本完成生成器和判別器的訓練，以達到預定的生成目標；而對抗樣本生成階段則是指惡意參與方利用訓練好的生成器生成對抗樣本的過程。

圖4 是基于GAN 的對抗樣本生成模型的訓練過程，其中，生成模型由多層卷積網絡和反卷積網絡組成。在該模型中，卷積網絡負責處理輸入圖像，提取深層特征；反卷積網絡采用一種與卷積過程相反的運算，從特征空間映射回原始圖像空間，它利用由卷積網絡提取的特征，加入一定隨機噪聲，重建出具有對抗性擾動的圖像。這種方法有效地避免了由于低維特征重建引發的模式坍塌現象。這種對抗樣本對目標模型形成有效的干擾，從而在維持原有識別精度的同時，提高了對抗攻擊的有效性。判別器則由卷積網絡組成，對輸入的真實特征和偽造特征進行二分類。

圖4 基于GAN 的對抗樣本生成模型的訓練過程

在訓練過程中，誠實參與方根據其本地模型和樣本特征執行本地計算，并將結果作為全局模型輸入上傳。惡意參與方通過生成器對真實特征進行編碼來產生對抗性擾動，然后將這些擾動添加到真實樣本上形成對抗樣本。接著，惡意參與方將對抗樣本輸入到本地模型中進行計算，并將結果上傳至服務器。服務器根據全局模型計算模型輸出及損失?adv。惡意參與方將真實樣本和對抗樣本輸入判別器，計算對抗損失 ?GAN。計算完成后，判別器和生成器根據全局損失?分別更新模型參數。惡意參與方重復上述過程，直到收斂后保存模型G、D。具體過程如算法2 所示。

算法2VFL-GASG 模型的訓練過程

圖5 基于GAN 的對抗樣本生成模型的生成過程

3 實驗評估

本節首先詳述實驗設定，包括實驗環境、數據集和模型結構；其次展示不同對抗樣本生成算法所產生的對抗樣本及其攻擊效果；再次通過實驗驗證VFL-GASG 在效率、魯棒性和泛化性上的能力；最后在縱向聯邦環境中，通過實驗分析不同參數對對抗攻擊的影響。

3.1 實驗設置

1) 實驗環境

本文實驗運行于以下環境：Intel(R) Xeon(R)Gold，64 內核，2.3 GHz，內存128 GB，V100 GPU，Ubuntu 16.04 操作系統。本文提出的對抗樣本生成算法基于Pytorch 框架和foolbox 庫實現。

2) 數據集

本文數據集選用了 MNIST、CIFAR-10 和ImageNet-100。其中，MNIST 數據集是一個廣泛應用于圖像分類任務的手寫數字圖像數據庫，包含60 000 個訓練樣本和10 000 個測試樣本，每個樣本都是28 像素×28 像素的灰度圖像；CIFAR-10 數據集也常用于圖像分類任務，是一個包含10 個不同類別的彩色圖像數據集，每個圖像為32 像素×32 像素，總計包含50 000 個訓練樣本和10 000 個測試樣本；ImageNet-100 數據集是ImageNet 大規模視覺識別任務的子數據集，包括100 個類別的樣本數據，共計50 000 個訓練圖像和10 000 個測試圖像，經處理后每個圖像為214 像素×214 像素。

本文構建了一個包含3 個參與方的仿真縱向聯邦學習環境。其中，2 個參與方被設定為誠實參與方，主要負責本地模型的計算和數據上傳；另一個參與方被設定為惡意參與方，其任務是生成對抗樣本。在基于特征維度的數據劃分過程中，誠實參與方和惡意參與方所持有的特征數量的比例保持在1:1，這種設計能夠在相對平衡的初始環境中評估和比較算法性能。

3) 模型架構

本文將目標模型在測試集上的分類準確率下降幅度作為對抗攻擊的度量，首先訓練目標模型，然后在測試樣本上添加擾動生成對抗樣本，統計對抗樣本在目標模型上的準確率。對抗樣本在目標模型的準確率越低，那么對抗攻擊的效果越好。在構建本地模型和全局模型的過程中，本文設計了不同的分類模型（圖6 的目標模型1 與目標模型2），經過訓練后，該模型在MNIST 和CIFAR-10 測試集上的準確率分別為97.27%和79.91%，而選用ResNet模型作為ImageNet-100 的目標模型，分類準確率為65.09%。本文采用深度卷積生成對抗網絡來改善訓練的穩定性。判別器包括4 層卷積網絡，生成器包括3 層卷積網絡、4 層ResNetBlock 和3 層反卷積網絡。

圖6 GAN 及目標模型網絡結構

3.2 對抗樣本生成

為了直觀展示對抗樣本的生成效果，本文在上述實驗環境中進行重建數據的可視化，分別在MNIST 和CIFAR-10 數據集上生成對抗樣本，當惡意參與方完成計算后，將不同參與方的樣本特征進行整合來直觀展示對抗樣本生成的效果。如圖7 和圖8 所示，盡管樣本在局部位置出現了微小的擾動，然而總體上并未影響圖像的辨認。

圖7 在MNIST 上生成的對抗樣本

圖8 在CIFAR-10 上生成的對抗樣本

本文進一步在ImageNet-100 數據集上生成對抗樣本，如圖9 所示。相比于MNIST 和CIFAR-10上生成的對抗樣本，ImageNet-100 上樣本的輪廓更清晰，視覺效果與原始圖像更相似，噪聲的直觀感受更小。

圖9 在ImageNet-100 上生成的對抗樣本

表3 統計了不同對抗樣本生成算法在目標模型上的分類準確率。結果表明，所有的對抗攻擊都導致了模型分類準確率的大幅下降，這證明了對抗樣本生成框架的有效性。然而，不同生成算法的效果存在差異，VFL-C&W 生成的對抗樣本使模型的分類準確率下降最多，其能夠在引入細小對抗擾動的同時保持較高的攻擊效果。VFL-JSMA 通過選擇對分類結果影響最大的像素對來生成對抗樣本。盡管這種算法改變的像素較少，但個別像素值的變動較大，因此，在實際的對抗攻擊中，這種算法生成的對抗樣本更容易被識別。VFL-FGSM、VFL-IFGSM、VFL-MIFGSM、VFL-LBFGS 算法在攻擊效果上相近。而本文提出的VFL-GASG 算法在攻擊效果上接近于VFL-C&W 算法，這證明該算法在縱向聯邦學習場景中可以保持較高的攻擊成功率。

表3 不同對抗樣本生成算法在目標模型上的分類準確率

3.3 效果對比

在效率方面，本文在3 個數據集的測試圖像上分別生成了10 000 個對抗樣本，并統計了所需時間，如表4 所示。在使用VFL-GAN 生成對抗樣本的過程中，惡意參與方僅需將原始圖像輸入生成器，生成器就可以計算出相應擾動，這種方式減少了參與方之間的數據傳輸次數，因此在計算復雜度上具有明顯優勢?；诒?，本文提出的VFL-GASG 算法在對抗樣本的生成效率上明顯優于其他算法，生成樣本耗時分別為5.51 s、9.99 s 和167.89 s，這甚至少于VFL-FGSM 算法。雖然在表2 中VFL-C&W 算法展示了較好的攻擊效果，但其代價是極高的計算復雜度，VFL-C&W 的計算耗時遠超其他方法。而本文提出的VFL-GASG 算法不僅保持了高攻擊成功率，同時在生成效率上也表現出顯著優勢。

為了探究對抗樣本對模型的魯棒性，本文調整了3 個數據集上目標模型的參數和網絡結構，得到新的目標模型A、B 和C。接著，將原對抗樣本輸入這些模型，通過觀察對抗樣本在新目標模型上的準確率變化來評估對抗樣本對于模型的魯棒性。如表4 所示，即使調整了目標模型，這些對抗樣本仍能顯著降低模型的準確率，特別是VFL-GASG 生成的對抗樣本依然使不同模型分類準確率大幅下降，這證明聯邦模型迭代后，VFL-GASG 生成的對抗樣本仍能有效干擾模型。

表5 展示了基于不同訓練樣本比例所訓練的生成模型所產生的擾動對目標模型準確性的影響，其中極差反映了度量指標在各比例間的變動幅度。結果顯示，即使訓練樣本的比例存在差異，VFL-GASG算法都能顯著降低目標模型的Top1 分類準確率，這證實了VFL-GASG 在部分樣本上對抗性擾動生成算法的泛化能力。在縱向聯邦學習的環境中，即使泄露了少量樣本信息，該算法也能夠利用這些信息構建噪聲生成網絡，進而構造對抗攻擊。相比之下，其他對抗樣本生成算法需要對每個輸入樣本進行獨立的計算與迭代，其泛化能力相對較差。

表5 不同訓練樣本比例的攻擊效果

3.4 不同實驗設置的影響

在對抗攻擊過程中，攻擊者利用其持有的特征創建對抗樣本以混淆目標模型，惡意參與方特征數量可能影響對抗攻擊的效果。為了探究惡意參與方特征數量對攻擊效果的影響，本節在不同惡意參與方特征數量條件下評估了不同對抗樣本生成算法的攻擊效果，實驗結果如圖10 所示。本節實驗分別在MNIST、CIFAR-10、ImageNet-100數據集上根據不同的敵手特征數量對圖像劃分，例如，在Imagenet 數據集上，敵手客戶端分別持有0～224 維的不同高度像素，其余像素則均勻分配給誠實參與方。隨著惡意參與方特征數量的增加，模型的分類準確率在一定范圍內呈線性下降趨勢。值得注意的是，即使敵手只持有較少的特征，其攻擊也能顯著影響模型性能，例如當特征數量分別為8、8 和56 時，VFL-GASG 在3 個數據集上產生的對抗攻擊使模型分類準確率分別下降30.80%、22.36%和17.62%；當惡意參與方特征數量超過總體特征的50%時，模型分類準確率均保持在較低水平。

圖10 惡意參與方特征數量對于對抗攻擊的影響

本節探究了不同惡意參與方占比對縱向聯邦對抗攻擊的影響，結果如圖11 所示。實驗設置在8 個參與方中引入不同比例（0%、12.5%、25%、50%）的惡意參與方，評估其對模型性能的影響。實驗表明惡意客戶端數量的增加引發了對抗攻擊效果的顯著提升，并導致目標模型分類準確率大幅降低。即使惡意參與方比例僅為12.5%，模型分類準確率也表現出顯著下滑。當惡意參與方比例達到50%時，模型分類準確率進一步降低至31.38%、42.89%和22.36%。以上結果表明，保證聯邦學習環境的安全性以防止惡意參與方的參與，對于維持模型的高分類準確率具有至關重要的意義。

圖11 惡意參與方占比對縱向聯邦對抗攻擊的影響

本節針對MNIST、CIFAR-10 和ImageNet-100數據集，探究了參與方數量和實驗參數配置如何影響VFL-GASG 對抗攻擊的效果，如圖12 所示。在將參與方總數設為2、4、6、8 的不同場景中，設定其中一個參與方作為惡意參與方并進行特征均勻分配。圖12 的實驗結果表明，隨著參與方數量的增長，對抗攻擊的攻擊準確率顯著降低，這是因為受擾動的特征數量隨著參與方數量的增加而減少，而其他參與方提供的建模特征則會緩解惡意參與方對攻擊的影響。另一方面，實驗參數設定可以影響損失優化方向中各項的相對重要性。當擾動參數λr較大時，模型的攻擊準確率降低較慢，意味著模型優化過程更注重于減小擾動，而不是攻擊效果。反之，當生成對抗網絡的參數λGAN增大時，生成模型則更多地傾向于降低目標模型的性能，以提高對抗攻擊效果。值得注意的是，在MNIST 和CIFAR 數據集上10～12 輪的部分準確率曲線有上升趨勢，這是因為λr相比于λGAN過小，導致模型更傾向于犧牲對抗性擾動而注重提高攻擊效果，但經裁剪后的圖像使攻擊效果反而下降。這些實驗結果表明，合適的模型參數對于對抗攻擊VFL-GASG尤其關鍵。

圖12 參與方數量和實驗參數配置對VFL-GASG 攻擊效果的影響

4 結束語

本文探討了縱向聯邦學習環境下的對抗樣本生成問題。首先，在縱向聯邦學習架構的背景下詳細分析了對抗攻擊的威脅模型，進而為縱向聯邦學習環境構建了一種具有高擴展性的對抗樣本生成框架，并擴展了不同機器學習對抗樣本生成策略作為基準算法。鑒于生成算法的泛化能力的要求，提出了一種基于 GAN 的對抗樣本生成算法VFL-GASG，該算法在生成模型中通過卷積-反卷積網絡構建精細化擾動。通過在多個數據集上的實驗證明，該算法在生成效率、魯棒性和泛化性方面表現出優良的性能，符合縱向聯邦學習環境的需求。即便在惡意參與方數量較少或其持有的特征數量較少的情況下，模型的準確性也會受到對抗攻擊的顯著影響。進一步，通過實驗分析了可能影響對抗攻擊效果的各種因素，為后續研究提供有意義的借鑒。