本文档属于类型a,即一篇报告单一原创研究的学术论文。以下是根据文档内容生成的学术报告:
本文由Wei Shen、Wenke Huang、Guancheng Wan和Mang Ye共同撰写,他们来自武汉大学计算机学院及国家多媒体软件工程技术研究中心。该研究发表于2025年,由人工智能促进协会(AAAI)主办的第三十九届人工智能会议(AAAI-25)上。
垂直联邦学习(Vertical Federated Learning, VFL)是一种多客户端协作训练全局模型的隐私保护学习范式,其特点在于各客户端共享样本但特征分布不同。尽管VFL在隐私保护方面表现出色,但其安全性可能受到后门攻击(Backdoor Attacks)的威胁。后门攻击是指恶意客户端通过操纵本地数据注入目标后门,从而控制模型行为。现有的VFL后门攻击方法依赖于任务标签的额外知识,这在VFL中通常不可行。因此,本文研究了一种新的后门攻击范式——无标签后门攻击(Label-Free Backdoor Attacks, LFBA),该方法无需任务标签信息,适用于VFL场景。
本文的研究流程主要包括以下几个步骤:
问题定义与威胁模型
研究首先定义了VFL中的后门攻击目标,即在不访问任务标签的情况下,将设计的触发器与目标类别关联起来。威胁模型假设攻击者是VFL中的一个被动客户端,能够访问本地数据、模型和训练过程中的嵌入梯度,但无法修改任务标签。
梯度引导的毒化样本集构建(Gradient-Guided Poison-Set Construction, GPC)
由于攻击者无法访问任务标签,本文提出利用嵌入梯度作为指导构建毒化样本集。具体而言,攻击者选择一个本地锚点样本,并计算其他样本与锚点样本的嵌入梯度一致性,选择一致性最高的样本作为毒化样本集。这一过程通过公式(4)实现,确保了毒化样本集来自目标类别。
选择性样本切换(Selectively Sample Switching, Saw)
为了增强后门任务的优化,本文提出了一种新的毒化方法——选择性样本切换。该方法通过切换毒化样本的本地特征,扰乱原始特征学习,从而促进触发器学习。同时,为了保持干净数据的准确性,仅选择毒化样本集中梯度最大的样本进行切换和触发器添加。这一过程通过公式(6)-(9)实现。
实验验证
研究在四个真实世界数据集(NUS-WIDE、UCI-HAR、Phishing和CIFAR-10)上进行了广泛的实验,验证了LFBA方法的有效性。实验结果表明,LFBA在多种设置下均能成功实施后门攻击,且无需任务标签的额外知识。
与基线的比较
实验结果显示,LFBA在干净数据上的准确率(M)和毒化数据的攻击成功率(A)均优于其他基线方法(如DGPC、RGPC和RS-GPC)。例如,在NUS-WIDE数据集上,LFBA的M为83.93%,A为99.85%,显著高于其他方法。
毒化样本比例和切换比例的影响
通过调整毒化样本比例(p)和切换比例(s),研究发现LFBA在不同比例下均能保持较高的攻击成功率。例如,当p=0.1、s=0.3时,LFBA在NUS-WIDE数据集上的M为83.93%,A为99.85%。
触发器大小的影响
实验还表明,LFBA在不同触发器大小下均能成功实施攻击。例如,在NUS-WIDE数据集上,即使触发器大小仅为原始特征的0.03%,攻击成功率仍超过90%。
防御策略下的攻击效果
在梯度压缩和高斯噪声防御策略下,LFBA仍能保持较高的攻击成功率,尽管防御策略会显著降低主任务的性能。
本文提出了一种适用于VFL的无标签后门攻击方法LFBA,通过梯度引导的毒化样本集构建和选择性样本切换,成功实现了在不访问任务标签的情况下注入目标后门。该方法在多个数据集上表现出色,为VFL中的后门攻击研究提供了新的思路。
无标签攻击范式
LFBA无需任务标签信息,适用于VFL场景,突破了现有方法的局限性。
梯度引导的毒化样本集构建
利用嵌入梯度作为指导,构建了来自目标类别的毒化样本集,确保了攻击的有效性。
选择性样本切换
通过切换毒化样本的本地特征,扰乱了原始特征学习,促进了触发器学习,同时保持了干净数据的准确性。
本文的研究不仅为VFL中的后门攻击提供了新的方法,还为未来VFL的安全性研究提供了重要参考。LFBA的成功实施表明,即使在隐私保护的VFL场景下,模型仍可能受到后门攻击的威胁,这为开发更有效的安全措施提供了理论基础和实践指导。