基于阈值的窃听者检测方法:用于噪声环境下的BB84量子密钥分发中的部分截获-重发攻击
《Computer Networks》:Threshold-Based Eavesdropper Detection for Partial Intercept-Resend Attack in Noisy BB84 Quantum Key Distribution
【字体:
大
中
小
】
时间:2026年01月30日
来源:Computer Networks 4.6
编辑推荐:
联邦学习持久后门攻击框架PBA通过分布式生成隐蔽触发器增强攻击成功率与持久性,在MNIST、CIFAR-10、Tiny-ImageNet上ASR超SOTA基准8.6%-11.7%,且防御机制下仍保持有效。
杨文音|吴卫东|刘芬|马莉|张志良|杨宝瑶
佛山大学计算机与人工智能学院,中国广东省佛山市南海区石山镇广云路33号,528000
摘要
联邦学习(FL)是一种分布式机器学习框架,多个客户端在不共享原始数据的情况下协作训练全局模型。然而,其分布式特性和数据异质性使其特别容易受到安全威胁,例如后门攻击。在后门攻击中,攻击者在训练过程中注入隐藏的触发器,导致全局模型在特定输入上表现出恶意行为,而在其他情况下仍保持正常性能。这些攻击利用服务器无法审计本地客户端数据的能力,通过污染本地数据集和模型更新来实现。一旦这些更新被聚合,就会破坏全局模型。现有的FL后门攻击在攻击效果和持久性方面存在显著限制。为了解决这些限制,我们提出了持久性后门攻击(PBA),这是一种显著提高攻击成功率和持久性的新框架。PBA通过为不同的本地模型创建独特的触发器并以分布式方式注入它们来进行攻击。PBA在整个训练过程中采用动态触发器生成,大大提高了隐蔽性和攻击持久性。综合实验表明,PBA在联邦学习中的表现始终优于最先进技术(SOTA)的后门攻击。例如,在Tiny-ImageNet数据集上,PBA的自动语音识别(ASR)峰值比SOTA基线高出1%以上,并且在训练结束时仍高出10%以上。总体而言,PBA为在联邦学习系统中执行后门攻击提供了更有效、更隐蔽和更持久的解决方案。
引言
联邦学习(FL)是一个由许多客户端组成的去中心化机器学习系统,每个客户端都有严格的数据隐私要求,它们在中央服务器的控制下共同训练模型[1]。集中式FL依赖于中央服务器来协调所有节点并指导算法,旨在将本地训练数据聚合成一个优于任何单个本地模型的全局模型。FL在许多对隐私敏感的领域很受欢迎,因为它不将数据存储在一个地方。这些领域包括工业物联网[2]、医疗保健[3]、金融[4]和社交网络[5]等。
后门攻击是一种常见的针对模型的攻击类型。在后门攻击中,攻击者在训练过程中添加触发器,以便改变模型的决策逻辑[6]、[7]、[8]、[9]。他们通过在模型中植入隐藏的识别模式来实现这一点。这样,模型在处理干净数据时表现正常,但在遇到带有触发器的样本时会产生错误输出[10]。这种误分类方法很难检测,尤其是在没有充分检查数据来源的情况下[11]。已知的攻击包括干扰自主导航、绕过生物特征安全以及禁用智能威胁检测系统[12]。
在实际应用中,由于FL系统的分布式和隐私保护特性,它们被广泛应用于许多场景。例如,在智能电网环境中,FL用于在保护原始用户数据隐私的同时进行能源需求预测和异常检测[13]、[14];在5G网络中,FL支持边缘智能和基站间的网络优化,从而在隐私约束下实现协作学习[15]、[16]、[17];在入侵检测系统中,FL允许多个网络域共同学习攻击模式,从而增强网络防御的鲁棒性[18]、[19]。然而,正是FL的分布式和隐私保护特性使其本质上容易受到后门攻击和数据污染攻击[20]、[21]。攻击者可以巧妙地操纵本地模型更新,将恶意后门注入全局模型,可能导致智能电网中的异常检测失败或允许入侵者在安全关键网络中绕过检测。因此,研究FL对后门攻击的安全性和鲁棒性对于确保此类关键基础设施系统的可靠运行至关重要。
关于FL中的后门攻击的首项研究由[22]报道。在FL中,攻击者不能像在集中式训练中那样直接污染全局模型。因此,他们通过在聚合之前污染本地模型更新来将后门行为注入全局模型。大多数攻击只对一个本地模型添加后门[23]、[24]、[25]、[26]。谢等人提出了分布式后门攻击[27]、[28]。分布式后门攻击利用FL的分布式训练特性,通过使用本地触发器将后门注入多个本地模型,如图1所示。然而,这些方法仅在注入毒药后的短时间内提高攻击成功率(ASR),这引发了对其长期有效性的担忧。提高FL中后门攻击的持久性仍然是一个当前的研究挑战。
在联邦聚合训练过程中,DBA和对联邦学习的持久性后门攻击(FCBA)[28]将显式的触发器模式(基于像素的输入样本)嵌入训练数据中。这些显式的伪影会创建可以通过手动检查轻松检测到的可见异常。同时,这些触发器在特征空间中留下明显的统计特征,使得后门防御机制能够识别被污染的样本。因此,当应用防御措施时,这种方法的隐蔽性较差,效果也较低,导致ASR显著降低。
基于这些观察,本研究提出了一种针对基于图像的FL的后门攻击方法:持久性后门攻击(PBA)。该方法旨在实现两个关键目标:(1)提供持久且有效的后门攻击;(2)提高攻击隐蔽性并增强对常见后门防御的鲁棒性。PBA采用两阶段攻击结构,包括分布式触发器生成阶段和分布式模型污染阶段。在分布式触发器生成阶段,使用分布式触发器生成模型创建与源图像对齐的不可见触发器。在分布式模型污染阶段,训练有素的分布式触发器生成模型生成本地触发器,并将其注入本地训练数据集中,从而将后门植入相应的本地模型。然后,全局模型通过联邦学习(FL)聚合协议从这些被破坏的本地模型中聚合更新,从而将后门嵌入全局模型。
本文的主要贡献如下:
1.我们提出了持久性后门攻击(PBA),这是一种显著提高攻击成功率和持久性的新框架。
2.我们提出在分布式训练期间使用对抗性生成的动态且不可见的本地触发器来污染目标模型,从而提高攻击的鲁棒性和隐蔽性。
3.在三个数据集上,PBA的ASR分别比DBA提高了32.4%、7.2%和28.2%。此外,即使应用了后门防御机制,PBA的ASR仍比SOTA高出8.6%、0.5%和11.7%。
部分内容片段
FL中的后门攻击
关于联邦学习(FL)中的后门攻击的研究仍处于早期阶段。参考文献[22]首次介绍了通过向模型中注入恶意更新来进行后门攻击的方法。参考文献[29]表明,在FL中后门攻击是不可避免的。FL包括无数据后门攻击[30]和针对模型合并的方法,这些方法不需要访问目标模型的内部结构[31]、[32]。污染本地模型是进行后门攻击的主要方法
攻击者目标
在这项研究中,我们采用水平FL方法[20],通过聚合本地参与者的训练结果来提高全局模型的泛化能力,如方程1所示。其中μ是全局学习率,Gθ是第θ轮的全局模型,表示第θ+1。全局模型基于聚合的本地模型进行更新。
在FL中,客户端可以获得之前的全局模型并对其进行影响
联邦学习中的持久性后门攻击
在本节中,我们提出了一种新的持久性后门攻击(PBA)用于联邦学习。通过训练一个本地触发器生成模型,PBA为每个客户端生成动态且隐蔽的分布式触发器,如图2所示,从而实现将后门注入本地模型。在测试阶段,这些分布式触发器被聚合成一个全局触发器来评估全局模型,如图3所示。
数据集和实验设置
在三个广泛使用的图像分类数据集MNIST、CIFAR-10和Tiny-ImageNet上评估了PBA攻击的有效性。为了模拟联邦数据的非独立同分布(Non-IID)特性,我们采用了来自[59]的基于狄利克雷的分区方法:定义了一个全局先验类别分布p,每个客户端采样一个特定于客户的分布q~?Dir(αp),其中浓度参数α控制客户端间的相似性(较小的α?→?0表示结论
在本文中,我们提出了一种新的联邦学习后门攻击方法,称为持久性后门攻击(PBA)。该方法结合了本地生成触发器和分布式攻击策略。通过对图像识别数据集的广泛实验,我们证明了PBA在攻击成功率、持久性和鲁棒性方面优于其他方法。我们还探讨了在联邦学习中使用分布式策略的优势
CRediT作者贡献声明
杨文音:软件、资源。吴卫东:写作——审阅与编辑,写作——原始草稿。刘芬:写作——审阅与编辑。马莉:资源。张志良:形式分析、数据管理。杨宝瑶:验证、监督。
利益冲突声明
作者声明他们没有已知的竞争财务利益或个人关系可能会影响本文报告的工作。
杨文音于2005年在中国广州的济南大学获得计算机科学学士学位,2007年获得计算机科学硕士学位,2017年在中国长沙的中南大学获得计算机应用技术博士学位。她目前是中国佛山大学计算机与人工智能学院的副教授。她的研究兴趣包括网络安全、联邦学习和智能存储。
生物通微信公众号
生物通新浪微博
今日动态 |
人才市场 |
新技术专栏 |
中国科学人 |
云展台 |
BioHot |
云讲堂直播 |
会展中心 |
特价专栏 |
技术快讯 |
免费试用
版权所有 生物通
Copyright© eBiotrade.com, All Rights Reserved
联系信箱:
粤ICP备09063491号
