DBA是一种针对联邦学习的分布式后门攻击方法,它将全局触发器分解为局部触发器,分别嵌入恶意参与者的数据集中,增强了攻击的隐蔽性和持久性。与集中式后门攻击相比,DBA在不影响全局模型在正常数据上的性能情况下,能在注入后门的数据上实现高攻击准确率。文章还探讨了触发器大小、间隔、位置以及投毒比例等因素对攻击效果的影响。
READ-2301 DBA: Distributed Backdoor Attacks against Federated Learning
| 论文名称 | DBA: Distributed Backdoor Attacks against Federated Learning |
|---|---|
| 作者 | Chulin Xie, Keli Huang, Pin-Yu Chen, Bo Li |
| 来源 | ICLR 2020 |
| 领域 | Machine Learning – Federal learning – Backdoor Attacks |
| 问题 | 已有的后门攻击将相同的全局触发器嵌入到所有攻击者数据中,不完全符合FL分布式的性质,属于集中式的后门攻击 |
| 方法 | 提出一种符合FL分布式性质的攻击框架,DBA将全局触发器模式分解为本地形式,并分别嵌入到恶意参与者的数据集中,比集中式后门攻击更加隐蔽并且影响更加持久 |
| 创新 | 分布式后门攻击 |
阅读记录
一、DBA框架
- 攻击模型:攻击者可以完全控制本地更新过程(如设置后门数据以及本地更新的超参数),但无法影响服务器(如聚合规则与更新过程)
- 攻击目标:使本地模型同时适合主要任务和后门任务,让全局模型在没有扰动的数据上表现正常,但在注入后门的数据拥有较高的攻击准确率
(1)集中式后门攻击者本地训练目标函数
R:将干净数据转换为后门数据
φ = {TS, TG, TL}:R所需参数,包括触发器大小、触发器间隔、触发器位置
D:客户端数据集,包括S_poi和S_cln,且二者无交集
S_poi:中毒数据集
S_cln:干净数据集
τ:目标标签
(2)分布式后门攻击者本地训练目标函数
DBA的攻击目标:在使用全局触发器攻击全局模型时,和集中式攻击有相同的效果
local trigger:部分触发器
global trigger:local trigger的集合
Φ:全局触发器,Φ_i为全局触发器使用分解策略获得的局部触发器
O:对于本地触发器的几何分解策略
γ:在聚合前对更新的操纵程度
二、对比:DBA & CBA
- 集中式后门攻击:使用全局触发器进行攻击
- 分布式后门攻击:使用全局触发器的一部分进行攻击
- 性能:尽管DBA没有施加全局后门,但攻击效果远优于集中式后门攻击
三、DBA的影响因素;
表格数据中特征重要性的触发属性:
- 触发器大小(TS):一个本地分布式触发器的像素个数
- 触发器间隔(TG):本地触发器间上下左右的距离
- 触发器位置(TL):触发器距离图片左上角的距离
- 投毒扩大因子(γ):攻击者扩大恶意模型权重
X:本地模型
G:全局模型
- 投毒比例(r):每个batch中投毒样本的比例,r越大,攻击效果越强,但容易损害模型性能
- 投毒间隔(I):两次投毒之间的通信间隔
- 数据分布:non-iid的迪利克雷分布,使用超参数α生成不同的数据分布
总结
本文提出了一种分布式的后门攻击,攻击时将全局的触发器进行拆分,恶意客户端将全局触发器划分为局部触发器,将局部触发器嵌入本地客户端,再进行训练。相比集中式后门攻击,DBA拥有更强的攻击性。
下一步学习计划
之后将继续阅读防御后门攻击的相关论文
扫一扫
676
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
