核心概念
提出DPOT,一種在聯邦學習中通過優化觸發器來動態構建後門目標,最小化惡意客戶模型更新與善意客戶模型更新之間的差異,從而有效地隱藏惡意客戶的模型更新。
摘要
本文提出了一種名為DPOT的後門攻擊機制,用於聯邦學習(FL)環境中。DPOT通過動態調整後門目標來有效地隱藏惡意客戶的模型更新,從而使現有的基於分析客戶模型更新的防禦措施失效。
DPOT攻擊包括以下三個關鍵步驟:
-
構建觸發器訓練數據集:從惡意客戶那裡收集可用的本地訓練數據,並將其標籤全部更改為目標標籤。
-
優化後門觸發器:基於當前輪次的全局模型,優化觸發器的像素位置和值,使得當前輪次的全局模型在後門數據上的損失最小。這樣可以確保後續在惡意客戶的本地數據上進行訓練時,只會產生微小的模型更新。
-
中毒惡意客戶的訓練數據:使用優化後的觸發器和目標標籤,以一定的中毒率對惡意客戶的本地訓練數據進行中毒。
作者提供了理論分析和實驗結果,證明DPOT通過只進行資料中毒攻擊,就可以有效地破壞基於分析客戶模型更新的防禦措施,並且在各種數據集和模型架構上優於現有的後門攻擊技術。
統計資料
在CIFAR10數據集上,使用DPOT攻擊時,最終全局模型的攻擊成功率(Final ASR)達到了80.1%,而平均攻擊成功率(Avg ASR)也達到了72.3%。
在Tiny ImageNet數據集上,使用DPOT攻擊時,最終全局模型的攻擊成功率(Final ASR)達到了72.4%,平均攻擊成功率(Avg ASR)也達到了67.8%。
在FEMNIST數據集上,使用DPOT攻擊時,最終全局模型的攻擊成功率(Final ASR)達到了68.2%,平均攻擊成功率(Avg ASR)也達到了62.5%。
在Fashion MNIST數據集上,使用DPOT攻擊時,最終全局模型的攻擊成功率(Final ASR)達到了75.3%,平均攻擊成功率(Avg ASR)也達到了70.1%。
引述
"通過動態調整後門目標來有效地隱藏惡意客戶的模型更新,從而使現有的基於分析客戶模型更新的防禦措施失效。"
"DPOT通過只進行資料中毒攻擊,就可以有效地破壞基於分析客戶模型更新的防禦措施,並且在各種數據集和模型架構上優於現有的後門攻擊技術。"