本文档属于类型a,即报告了一项原创研究。以下是对该研究的学术报告:
本文的主要作者包括Yuying Liao、Xuechen Zhao、Bin Zhou和Yanyi Huang,他们均来自中国长沙的国防科技大学计算机科学与技术学院。该研究于2021年8月发表在《Journal of LaTeX Class Files》上,题为“CapsuleBD: A Backdoor Attack Method Against Federated Learning Under Heterogeneous Models”。
研究的主要科学领域是联邦学习(Federated Learning, FL)中的安全与隐私问题,特别是针对异构模型的联邦学习。联邦学习是一种创新的方法,旨在突破传统联邦学习在模型架构一致性上的限制,以更好地适应移动计算场景中数据分布和硬件资源的异质性。然而,尽管联邦学习中的后门风险已受到广泛关注,但针对异构模型的影响仍缺乏深入研究。异构模型下,设备贡献的模型结构各不相同,导致攻击者通过全局模型操纵的良性本地模型神经元数量减少,攻击面缩小。为了解决这一问题,研究者提出了一种白盒多目标后门攻击方法,称为CapsuleBD。
研究的主要流程包括以下几个步骤:
模型解耦与权重重新分配:研究者设计了一种模型解耦方法,通过权重重新分配将良性和恶意任务训练流程分离。负责良性任务的模型结构比恶意任务模型更大,类似于一个胶囊,包裹着影响多个异构模型的有害物质。
恶意样本生成:研究者使用生成对抗网络(GAN)范式训练了一个恶意样本生成器。生成器在生成恶意样本时,通过约束生成的恶意样本与原始良性样本之间的距离,确保生成的触发器具有隐蔽性。
后门注入:研究者提出了受控的后门注入方法,分别更新攻击模型的不同组件。通过这种方法,攻击者可以在每个本地迭代轮次后,将两个子模型(壳模型和毒模型)聚合,并通过全局模型间接地将后门注入到参与联邦学习的本地模型中。
实验验证:研究者在CIFAR10、MNIST和LFW数据集上进行了详细实验,验证了CapsuleBD的有效性。实验结果表明,即使攻击空间减少50%,CapsuleBD仍能保持99.5%的平均攻击成功率。
研究的主要结果包括:
攻击成功率:在CIFAR10、MNIST和LFW数据集上,CapsuleBD在攻击空间减少50%的情况下,仍能保持99.5%的平均攻击成功率。
良性任务性能:在攻击和非攻击场景下,CapsuleBD对良性任务的准确率影响较小,仅牺牲了0.1%-6.7%的准确率。
隐蔽性:生成的触发器在像素级距离上与原始样本非常接近,难以被检测到。
CapsuleBD是一种针对异构联邦学习的后门攻击方法,首次提出了多目标后门攻击方法。通过模型解耦和受控后门注入,CapsuleBD能够在保持攻击隐蔽性的同时,感染尽可能多的异构本地模型。该方法在实验中被证明是有效的,即使在攻击空间减少的情况下,仍能保持高攻击成功率。
研究还探讨了不同超参数配置对攻击性能的影响,并发现CapsuleBD在无先验知识的情况下仍能保持较高的攻击成功率。未来的研究将探讨如何减少对受害者模型结构的依赖,并进一步改进方法以适应更多异构场景。
通过上述研究,CapsuleBD为联邦学习中的安全问题提供了新的解决方案,具有重要的学术和应用价值。