分享自:

基于Sybil的后门投毒攻击在AIoT联邦学习系统中的分布式大数据应用

期刊:IEEE Transactions on Big DataDOI:10.1109/TBDATA.2022.3224392

这篇文档属于类型a,即报告了一项原创性研究。以下是针对该研究的学术报告:

一、研究作者及发表信息
本研究的主要作者包括Xiong Xiao、Zhuo Tang、Chuanying Li、Bingting Jiang和Kenli Li,他们均来自湖南大学计算机科学与电子工程学院。该研究发表于IEEE Transactions on Big Data期刊,发表日期为2024年11月/12月。

二、学术背景
本研究的主要科学领域为分布式人工智能与联邦学习(Federated Learning, FL),特别是在人工智能物联网(AIoT)环境中的应用。随着深度学习技术的快速发展,联邦学习作为一种分布式机器学习范式,允许多个独立参与者在无需共享数据的情况下协作训练模型。然而,这种分布式特性也带来了安全隐患,尤其是恶意参与者可能通过后门投毒攻击(Backdoor Poisoning Attacks)污染本地模型,并利用服务器无法追踪原始数据的特性,使得被污染的模型直接参与全局聚合。在AIoT-FL网络中,由于设备可能因电路故障、电量耗尽或网络中断等问题频繁离线,恶意参与者还可能创建Sybil节点(虚假身份)加入训练,进一步加剧了系统的脆弱性。因此,本研究旨在设计一种基于Sybil的后门投毒攻击(Sybil-based Backdoor Poisoning Attacks, SBPA),以揭示AIoT-FL网络中的潜在风险,并提出一种高效的攻击方法。

三、研究流程
1. 研究目标与设计
本研究的主要目标是设计并验证SBPA的有效性,具体包括:(1)在本地训练中通过注入后门触发器(Backdoor Triggers)实现数据投毒;(2)利用AIoT设备的不稳定性创建Sybil节点,以提高被污染模型的聚合概率;(3)在测试阶段使全局模型对后门图像进行错误分类,同时保持对其他非后门样本的高分类准确率。

  1. 实验设计
    研究在多个数据集(F-MNIST、CIFAR-10和FEMNIST)上进行了广泛实验,验证了SBPA在独立同分布(IID)和非独立同分布(Non-IID)场景下的性能。实验设置包括:(1)模拟50个参与者(IID场景)和3383个参与者(Non-IID场景)的联邦学习网络;(2)每轮通信中随机选择10%的参与者进行模型聚合;(3)恶意参与者通过注入后门触发器污染本地数据,并创建Sybil节点参与训练。

  2. 攻击方法实现
    SBPA的核心流程包括以下步骤:(1)恶意参与者在本地数据中注入后门触发器,并重新标记为目标类别;(2)在本地训练中,使用污染数据训练本地模型;(3)在聚合阶段,Sybil节点参与模型更新,以提高被污染模型的聚合概率;(4)在测试阶段,全局模型对后门图像进行错误分类,同时保持对其他非后门样本的高分类准确率。

  3. 数据分析
    研究通过以下指标评估SBPA的性能:(1)全局模型准确率(GMAcc);(2)主任务准确率(MTAcc),即非攻击类样本的分类准确率;(3)后门准确率(BDAcc),即后门图像被正确分类为目标类别的比例;(4)召回率(Recall),即后门图像被正确分类的比例。

四、主要结果
1. 恶意参与者比例(k)的影响
实验结果表明,随着k的增加,全局模型的准确率逐渐下降,但主任务准确率基本保持不变。例如,当k从10%增加到40%时,F-MNIST和CIFAR-10数据集的GMAcc分别下降了约5%和7%,而MTAcc的差异仅为0.05。此外,SBPA在BDAcc方面表现出色,特别是在k=20%时,SBPA的BDAcc显著高于对比方法。

  1. Sybil节点数量(s)的影响
    随着s的增加,全局模型的准确率进一步下降,但主任务准确率仍保持稳定。例如,当s从5增加到8时,F-MNIST和CIFAR-10数据集的GMAcc分别下降了约3%和4%。同时,SBPA的BDAcc在所有实验中均保持较高水平,且收敛速度更快。

  2. 投毒率(pr)的影响
    实验结果表明,随着pr的增加,全局模型的准确率逐渐下降,但主任务准确率变化不大。例如,当pr从0.2增加到0.5时,F-MNIST和CIFAR-10数据集的GMAcc分别下降了约4%和6%。SBPA的BDAcc在所有pr设置下均表现出色,特别是在pr=0.4时,BDAcc达到最高。

  3. 非独立同分布场景下的表现
    在Non-IID场景下,SBPA同样表现出色。例如,在FEMNIST数据集上,当k从10%增加到40%时,GMAcc显著下降,而MTAcc基本保持不变。SBPA的BDAcc在Non-IID场景下也表现出较高的准确率和较快的收敛速度。

五、结论
本研究提出了一种基于Sybil的后门投毒攻击(SBPA),揭示了AIoT-FL网络在聚合过程中的潜在风险。通过实验验证,SBPA在多个数据集和不同数据分布场景下均表现出较强的攻击效果,能够在保持主任务准确率的同时,显著提高后门任务的分类准确率。该研究的意义在于:(1)揭示了AIoT-FL网络中的安全漏洞,为后续防御策略的设计提供了理论依据;(2)提出了一种高效的攻击方法,为联邦学习的安全性研究提供了新的视角。

六、研究亮点
1. 创新性攻击方法
SBPA首次将Sybil节点与后门投毒攻击结合,利用AIoT设备的不稳定性提高攻击效果。 2. 广泛的实验验证
研究在多个数据集和不同数据分布场景下进行了广泛实验,验证了SBPA的鲁棒性。 3. 多任务学习目标
SBPA不仅实现了后门任务的分类目标,还保持了主任务的高准确率,体现了多任务学习的优势。

七、其他有价值的内容
研究还探讨了SBPA在两种防御策略(FoolsGold和C&A)下的表现,结果表明SBPA在防御策略下仍具有较强的攻击效果。这一发现为联邦学习的安全性研究提供了重要参考。

上述解读依据用户上传的学术文献,如有不准确或可能侵权之处请联系本站站长:admin@fmread.com