联邦学习异构模型下的后门攻击方法CapsuleBD：突破防御的新型白盒多目标攻击策略

一、研究团队与发表信息

本研究由Yuying Liao、Xuechen Zhao、Bin Zhou、Yanyi Huang（均来自中国国防科技大学计算机科学与技术学院）合作完成，发表于IEEE Transactions on Information Forensics and Security（2025年4月，卷20）。论文标题为《CapsuleBD: A Backdoor Attack Method Against Federated Learning Under Heterogeneous Models》，聚焦于异构联邦学习（Heterogeneous Federated Learning）中的安全威胁。

二、学术背景与研究动机

科学领域：联邦学习（Federated Learning, FL）是一种分布式机器学习框架，允许设备在保护数据隐私的前提下协同训练模型。传统FL要求所有设备使用同构模型架构，而异构联邦学习（Heterogeneous FL）通过允许不同结构的本地模型，解决了移动计算场景中硬件资源与数据分布的异构性问题。

研究动机：尽管联邦学习的后门攻击（Backdoor Attack）在同构模型中已有广泛研究，但异构模型因其参数空间重叠减少（攻击面缩小），被认为具有天然防御能力。然而，本文挑战这一假设，提出首个针对异构FL的多目标后门攻击方法CapsuleBD，旨在证明即使攻击空间缩减50%，仍能实现99.5%的攻击成功率。

研究目标：
1. 揭示异构联邦学习的防御漏洞；
2. 设计一种高效、隐蔽的白盒攻击方法；
3. 通过实验验证攻击对异构模型的普适性。

三、研究方法与流程

1. 攻击模型设计：胶囊式解耦（Model Decoupling）

• 核心思想：将攻击模型解耦为外壳模型（Shell Model）和毒化模型（Poison Model），分别负责良性任务和恶意任务。外壳模型结构更大（如胶囊外壳），毒化模型则针对高全局影响力的神经元（攻击目标）。
  
• 参数分配：通过权重重组（Weight Reassignment）分离任务管道，确保毒化模型仅影响关键神经元（公式1定义比例系数(k_s)和(k_p)）。
  

2. 动态触发器生成（Malicious Sample Generation）

• GAN框架：设计基于生成对抗网络（Generative Adversarial Network）的触发器生成器，通过以下损失函数优化：
  
  • 对抗损失：欺骗判别器（Discriminator）；
    
  • 目标损失：使毒化模型对触发样本输出预设标签；
    
  • 隐蔽性约束：通过(L_2)范数、SSIM或LPIPS限制触发器与原图的差异（算法1）。
    
• 优势：样本特异性触发器（Sample-specific Triggers）比固定触发器（如贴图）更隐蔽，可绕过检测。
  

3. 控制式后门注入（Controlled Backdoor Injection）

• 双模型协同训练：
  
  • 毒化模型通过恶意样本优化目标标签预测（公式6）；
    
  • 外壳模型通过良性样本维持正常任务性能（公式7）。
    
• 聚合策略：每轮本地迭代后，按权重(\lambda_1)和(\lambda_2)聚合子模型（公式9），上传至服务器感染全局模型（算法2）。
  

4. 实验验证

• 数据集：MNIST、CIFAR-10、LFW（非独立同分布数据）。
  
• 模型架构：ResNet18、DenseNet121/264模拟异构环境。
  
• 攻击配置：攻击者占比2%-10%，触发器生成耗时仅占本地训练的27%。
  

四、主要实验结果

1. 攻击成功率（ASR）：

   • 在CIFAR-10上，攻击空间缩减至50%时，ASR仍达99.7%（表I）；
     
   • LFW数据集平均ASR为99.5%，证明跨数据集的普适性。
     

2. 隐蔽性（CAR）：

   • 良性任务准确率仅下降0.1%-6.7%（表II），部分场景甚至提升2.3%。
     

3. 防御对抗：

   • 对比5种现有攻击方法（如DBA、Neurotoxin），CapsuleBD在异构FL中显著优于基线（表III）；
     
   • 主流防御方法（如FLAME、CRFL）在(c \geq 0.7)时失效（表IV）。
     

4. 关键发现：

   • 攻击时机：模型收敛后期（后30%训练轮次）注入效果最佳（图6）；
     
   • 超参数选择：满足(k_s \geq c \geq k_p)时攻击效率最高（表VII）。
     

五、研究结论与价值

科学价值：
- 首次证明异构联邦学习对后门攻击并非免疫，挑战了领域内固有认知；
- 提出模型解耦与动态触发器的创新组合，为FL安全研究开辟新方向。

应用价值：
- 暴露实际部署中异构FL的潜在风险，推动防御策略升级；
- 攻击方法可扩展至垂直联邦学习（Vertical FL）等其他分布式场景。

六、研究亮点

1. 方法创新：

   • 胶囊式解耦架构实现多目标攻击；
     
   • 动态触发器生成器突破传统固定模式限制。
     

2. 实验严谨性：

   • 覆盖3类数据集、5种模型架构及极端非独立同分布（Non-IID）场景；
     
   • 开源代码（GitHub）支持复现。
     

3. 理论贡献：

   • 提出“攻击空间-模型异构度”定量关系（(k_s \geq c \geq k_p)），为后续研究提供参考。
     

七、未来方向

作者指出需进一步探索：
1. 半先验知识（Semi-prior Knowledge）下的攻击优化；
2. 跨任务异构（Cross-task Heterogeneity）场景的适应性。

此研究为联邦学习安全领域树立了新标杆，同时警示工业界需重新评估异构FL的实际风险。