论文名称 | Coordinated Backdoor Attacks against Federated Learning with Model-Dependent Triggers |
---|---|
作者 | Xueluan Gong; Yanjiao Chen; Huayang Huang; Yuqing Liao; Shuai Wang; Qian Wang |
来源 | IEEE Network 2022 |
领域 | Machine Learning - Federal learning - Security – Model-Dependent backdoor attack |
问题 | 后门攻击容易被良性更新稀释 |
方法 | 使用多个依赖模型的本地触发器进行适应性攻击,全局触发器由多个本地触发器组成 |
创新 | 依赖模型的触发器 |
阅读记录
一、预备知识:后门类型
- 随机触发器:与模型训练过程无关,容易被良性更新稀释,如贴纸、像素
- 依赖模型的触发器:旨在最大化学习模型内某些神经元的活动,全局模型更有可能记住聚合后的触发器
二.攻击模型
- 攻击能力
- 每一轮中有四个恶意客户端进行协同攻击
- 每轮中选择一个恶意客户端用于单触发后门攻击
- 攻击者可以控制恶意客户端的数据和训练过程,但不能控制服务器和良性客户端
- 服务器是诚实的,不会泄露或篡改用户的训练数据集
- 所有参与者都遵守联邦学习协议
- 攻击目标:后门攻击
三、依赖模型的后门攻击
- 总框架
- 依赖于模型的局部触发操作
- 协作的后门注入
- 生成依赖于模型的本地触发器
- 确定触发器的形状、大小和位置,理想的情况是具有不太明显的触发器,可以与图像很好地融合
①形状:矩形
②位置:放置在图像的角落 - 构建一个与初始触发器形状、大小和位置相同的空掩码,生成触发器的过程相当于寻求掩码的最佳值分配
①选择单个神经元来影响触发器的生成,以避免降低模型的主任务精度
②将目标标记的大量数据样本输入模型,并记录所选层中每个神经元的激活次数,选择激活和权重最大的神经元到下一层
③使用成本函数最小化所选神经元当前值和目标值之间的差异,目标值是选定层中的最大的神经元值。
④如果所选神经元的值已经是给定层中的最高值,则继续增加其值,直到收敛或迭代次数达到极限。在最后一轮迭代中,从掩码区域提取触发器
- 协作的后门注入
- 使用生成的触发器进行数据投毒,将原始样本和中毒样本都添加到恶意客户端的训练集中
- 恶意客户端使用训练集进行本地训练,并进行scaling attack
- 在推理阶段,攻击者可以使用其本地触发器或组合的全局触发器来触发嵌入全局模型中的后门
总结
本文提出一种与模型相关的后门生成方法,通过调整后门的分配值,使得嵌入后门更容易激发选定的神经元,从而达到更有效的攻击。在本文的实验中,并没有看出对隐蔽性和攻击性的权衡效果,可以使用聚类或降维相关的异常检测进行防御实验。