联邦学习中的针对性投毒攻击增强方法：BotPA框架的提出与评估

作者及发表信息
本研究的核心作者包括Shihua Sun（弗吉尼亚理工大学电气与计算机工程系）、Shridatt Sugrim（Kryptowire Labs）、Angelos Stavrou（弗吉尼亚理工大学）和Haining Wang（弗吉尼亚理工大学，IEEE Fellow）。研究成果发表于2025年的*IEEE Transactions on Information Forensics and Security*（Volume 20），论文标题为《Partner in Crime: Boosting Targeted Poisoning Attacks Against Federated Learning》，DOI编号为10.1109/TIFS.2025.3555429。

学术背景

研究领域与动机
联邦学习（Federated Learning, FL）作为一种分布式机器学习范式，允许客户端在本地训练模型而无需共享原始数据，但其分布式特性也引入了新的安全威胁，尤其是针对性投毒攻击（Targeted Poisoning Attacks）。这类攻击旨在诱导模型将特定源类（Source Class）样本误分类为目标类（Target Class）。尽管现有防御机制（如Krum、Median、FLTrust等）能部分缓解攻击，但攻击效果仍受限于恶意客户端比例、防御策略及攻击能力。

科学问题
传统攻击仅关注源类与目标类的直接关系（如标签翻转），忽略了其他类别对决策边界的影响。本研究提出两个关键问题：
1. 如何识别对源类-目标类决策边界影响显著的其他类别（即中间类，Intermediate Classes）？
2. 如何通过标签篡改增强攻击效果，同时避免被检测？

研究目标
提出一种通用的预训练阶段增强框架BotPA（Boosting Targeted Poisoning Attacks），通过利用中间类的模型更新贡献，构造放大器集（Amplifier Set），并设计软标签（Soft Labels）篡改策略，以提升现有针对性投毒攻击的成功率（Attack Success Rate, ASR），同时保持隐蔽性。

研究方法与流程

1. BotPA框架设计

BotPA包含以下核心步骤：
1. 源类标签篡改：恶意客户端将源类样本标签改为目标类。
2. 代理模型训练：攻击者利用本地污染数据训练一个集中式代理模型（Surrogate Model），模拟目标FL模型的行为。
3. 放大器集构建（Algorithm 1）：
- 基于贡献度相似性（Input Similarity from Contribution Degrees）选择中间类，计算源类与其他类（排除目标类）的模型更新相似性：
[ \text{cs_contrib}(c_{\text{src}}, ci) = \frac{1}{n{c{\text{src}}} n{c_i}} \sum \frac{\nabla_w fw(x{\text{src}}) \cdot \nabla_w f_w(x_i)}{|\nabla_w fw(x{\text{src}})| |\nabla_w f_w(xi)|} ] - 选择相似性最高的前(n)个中间类，合并其样本构成放大器集。
4. 软标签设计（Algorithm 2）：
- 基于潜在特征分布相似性（Input Similarity from Latent Feature Distributions），计算源类与中间类的特征空间余弦相似性：
[ \text{cs_ftrs}(c{\text{src}}, ci) = \frac{1}{n{c{\text{src}}} n{c_i}} \sum \frac{lw(x{\text{src}}) \cdot l_w(x_i)}{|lw(x{\text{src}})| |l_w(xi)|} ] - 若相似性为正，则将中间类标签改为目标类与原始类的凸组合（如(s{c_z} = \lambdaz e{\text{tgt}} + (1-\lambdaz) e{c_z})），否则保留原标签。
5. 标签篡改实施：在恶意客户端中，将放大器集样本标签替换为设计的软标签。

2. 实验设置

• 数据集：Fashion-MNIST（FMNIST）、CIFAR-10、Colorectal Histology MNIST（CH-MNIST）。
  
• FL系统：20个客户端（FMNIST/CIFAR-10）或10个客户端（CH-MNIST），本地训练5轮，总通信轮次25-50轮。
  
• 攻击场景：
  
  • 数据投毒：仅篡改标签。
    
  • 模型投毒：包括显式增强更新（Explicitly Boosting Updates）和交替最小化 stealthy 攻击（Alternating Minimization）。
    
• 防御机制：Krum、Multi-Krum、Median、FLAME。
  
• 评估指标：攻击成功率（ASR）、相对提升率（RI-ASR = (B-ASR − V-ASR)/V-ASR）。
  

主要结果

1. 数据投毒攻击增强效果：

   • 在中位案例（Median Cases）中，BotPA使ASR相对提升15.3%–41.8%；在最佳案例（Best Cases）中，RI-ASR最高达145.7%（FMNIST）。
     
   • 例如，CIFAR-10上“狗→猫”攻击的ASR从23.1%提升至56.8%（RI-ASR=145.7%）。
     

2. 模型投毒攻击增强效果：

   • 在Krum防御下，RI-ASR达94.7%；在Median和FLAME防御下，RI-ASR分别为49.2%和63.5%。
     
   • 隐蔽性分析：全局模型准确率与基线攻击几乎无差异（图4），表明BotPA未显著影响其他类别的分类性能。
     

3. 非独立同分布（Non-IID）数据场景：

   • 在Dirichlet分布（β=0.5）下，RI-ASR仍保持38.7%，证明BotPA对数据分布不平衡具有鲁棒性。
     

4. 理论分析：

   • 通过权重发散（Weight Divergence）证明，BotPA通过中间类的模型更新方向与源类一致（(\delta{rz} \approx \delta{rs})），从而增强攻击效果（图3）。
     

结论与价值

1. 科学价值：

   • 首次提出利用中间类增强针对性投毒攻击的通用框架，突破了传统攻击仅关注源类-目标类直接关系的局限。
     
   • 通过理论分析和实验验证，揭示了潜在特征空间中决策边界可被间接操纵的机制。
     

2. 应用价值：

   • 暴露了现有FL防御（如Byzantine-resilient聚合、差分隐私）在针对性攻击下的潜在漏洞。
     
   • 为设计更鲁棒的防御（如基于密度检测的中间类识别）提供了方向。
     

研究亮点

1. 方法创新：

   • 提出放大器集和软标签设计，仅需修改现有标签（无需注入新样本或直接操控模型权重），兼容数据与模型投毒攻击。
     
   • 首次将贡献度相似性与特征分布相似性结合用于攻击增强。
     

2. 实验全面性：

   • 覆盖IID/Non-IID数据、多种防御机制、三类数据集，验证了BotPA的普适性。
     
   • 通过潜在特征可视化（图11）直观展示决策边界变化。
     

3. 隐蔽性保障：

   • 软标签的高熵特性使标签篡改难以检测，攻击成功率提升的同时不影响模型整体性能。
     

其他有价值内容

• 潜在防御建议：通过分析恶意与良性客户端在中间类的对数层表示密度差异（图12），可设计基于密度检测的防御机制。
  
• 局限性：BotPA效果依赖于中间类的选择质量，在类别相似性低的场景中提升有限。未来可探索更鲁棒的中间类识别方法。
  

（全文约2200字）