这篇文档属于类型a,即报告了一项原创性研究。以下是对该研究的学术报告:
本研究的主要作者包括Ye Liu、Shan Chang、Denghui Li、Shaohuai Shi和Bo Li,分别来自江西师范大学、东华大学、哈尔滨工业大学(深圳)和香港科技大学。该研究发表于《IEEE Network》期刊,预计于2024年出版。
本研究属于联邦学习(Federated Learning, FL)领域,重点关注联邦学习中的后门数据投毒攻击(Backdoor Data Poisoning Attack)。联邦学习作为一种分布式机器学习框架,允许数据保留在本地设备上,仅共享模型更新,从而保护数据隐私。然而,联邦学习在本地模型训练和参数传输等关键过程中容易受到多种攻击,其中后门攻击尤为显著。后门攻击通过在本地模型更新中植入后门,操纵全局模型,严重威胁模型质量。
本研究的背景是现有的后门攻击方法在鲁棒性和持久性方面存在不足,尤其是在拜占庭容错聚合算法(Byzantine Fault-Tolerant Aggregation Algorithms)下,攻击效果难以持久。因此,本研究旨在提出一种新的后门数据投毒攻击方法——Rope-Door,通过触发生成算法提高攻击的鲁棒性和持久性。
触发生成:
Rope-Door的核心思想是避免使用随机生成的触发器,而是基于当前全局模型学习最合适的后门触发器。具体步骤包括:
模型训练与投毒:
实验评估:
鲁棒性:
Rope-Door在四种拜占庭容错聚合算法(FoolsGold、Geom-Median、Krum和RLR)下均表现出高攻击成功率(ASR),同时保持较高的主任务准确率(MTA)。例如,在LeNet5 on MNIST任务中,Rope-Door的ASR达到99%,而随机触发器的ASR仅为54%。
持久性:
Rope-Door在仅一次投毒后,仍能在后续联邦学习轮次中保持高ASR。例如,在LeNet5 on F-MNIST任务中,Rope-Door在10轮投毒后,ASR保持在0.95以上。
影响因素:
本研究提出的Rope-Door方法通过基于全局模型的触发生成算法,显著提高了后门数据投毒攻击的鲁棒性和持久性。即使在使用拜占庭容错聚合算法的情况下,Rope-Door仍能有效实施攻击。这一研究不仅揭示了联邦学习中的安全漏洞,还为设计更安全的联邦学习系统提供了重要参考。
本研究还通过可视化展示了触发器训练过程,直观地呈现了触发器在训练中的变化及其对图像分类的影响。这为理解后门攻击机制提供了直观的支持。
Rope-Door为联邦学习中的后门攻击研究提供了新的视角和方法,具有重要的学术价值和实际应用意义。