研究发现,尽管具有参数解耦的pFL在一定程度上增强了鲁棒性,但仍可被针对特征编码器的后门攻击所影响。通过引入噪声模拟良性行为,攻击者可提高攻击的可扩展性。实验结果显示,新方法在保持主任务精度的同时,后门成功率更高且稳定。
个人阅读笔记,如有错误欢迎指出!
期刊:2024 TKDD
问题:
具有参数解耦(parameter decoupling)的pFL方法能够显著增强对后门攻击的鲁棒性,但本文证明了pFL仍然能够被后门攻击
pFL造成了恶意客户端和良性客户端之间的异构性
创新:
证明了参数解耦的pFed仍然容易受到后门攻击
只毒害特征编码器,同时保持类别固定
引入噪声使类别多样化,模拟良性客户端的类别
方法:
key idea
良性客户端与恶意客户端的决策边界明显不同——> 对有毒样本特征表达的部分投毒的同时保持分类器的稳定
异质性会使不同客户端的决策边界产生不同程度的偏移,但存在子空间s^0s0s^0s0仍能将两个类别的客户端正确归类 ——>引入噪声使分类器多样化来增强攻击的可推广性,将有毒样本归为子空间中
整体算法
恶意客户端的优化目标如下,表示在有毒样本上训练的模型loss,但是攻击方无法获取到其他客户端的分类器(在解耦的pFL中只上传特征提取器,客户端在其本地训练分类器)
直接使用初始化的分类器会使攻击方收敛缓慢且不稳定,因此添加高斯噪声到分类器上
后门攻击的目标是使模型学习触发器到目标标签的映射,优化目标如下
实验:
在ASR(后门成功率)和MTA(主任务精度)上的对比试验,本方法更有效且稳定
数据异质性影响。在MTA相当的情况下,本方法始终优于基线
客户端共享层数的影响(CIFAR)。共享越多后门成功率越高,但共享较少会影响MTA。需要权衡
攻击者数量。在只有1个攻击方的情况下本方法依然实现了高ASR
攻击间隔的影响。结合了缩放技术
消融——噪声水平的影响
面对不同防御时的效果
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
