联邦学习(FL)已成为分布式机器学习中的一个重要范式[1],[2],它允许多个客户端在不暴露私有数据的情况下协作训练全局模型。在每次通信轮次中,服务器会选择一部分客户端来训练模型。这些客户端使用他们的私有数据集训练本地模型,然后将其上传到服务器。服务器根据预定义的策略汇总这些本地模型以更新全局模型。FL实现了保护隐私的协作学习,并打破了数据孤岛,特别适用于无法共享敏感数据的应用场景。它在安全和隐私至关重要的领域得到了广泛应用,如医疗保健、金融和移动计算[3],[4],[5],[6]。
另一方面,FL也为各种恶意攻击提供了途径,包括成员推断[7]、隐私泄露[8]和投毒攻击[9]。后门攻击[10],[11],[12],[13],[14]是针对训练数据的隐蔽性攻击,攻击者在数据中植入隐藏的触发器,导致受损模型输出恶意选择的标签。关键的是,这些模型在干净的数据上仍能保持正常性能。在FL中,攻击者利用这一点通过破坏选定的客户端来秘密注入后门。这破坏了模型的完整性,同时避免了检测。
FL中的后门攻击已经发展出多种形式,特别是在触发器特性方面。这些包括固定触发器[10],[15],[16]、分布式触发器[17]、动态触发器[13],[14]和不可见触发器[18],[19]。尽管触发器特性多样,但基本的攻击模式仍然相似。通常,当前的攻击分为两大类:所有对一个攻击,其中所有被触发的输入都指向同一个类别;以及所有对所有攻击,其中来自类别的输入被修改为指向
在实际的FL部署中,攻击者的具体目标很少是静态的。由于系统更新、政策变化或访问控制调整,所需的标签往往会随时间变化。传统的SBAs将恶意行为绑定到一个固定的标签上,在这些动态环境中控制能力非常有限。例如,在基于面部识别的访问控制系统中,如果特定目标身份被列入黑名单或其访问权限被撤销,攻击就会失效。同样,在自动驾驶或医疗诊断等安全关键领域,攻击者可能需要根据当前情况将模型引导到不同的错误类别。在单目标框架内,适应新目标需要在整个训练过程中重新投毒模型——鉴于客户端选择的不可预测性和FL的高开销,这通常是不切实际的。
相比之下,多目标后门攻击将威胁从简单的标签操纵转变为更灵活的多类别控制。通过提前嵌入可控的恶意映射,攻击者可以在不进行额外投毒的情况下动态切换目标。这种能力扩大了攻击范围,并且即使某些目标被检测到或中和,恶意行为仍然有效。此外,由于诱导的错误分类分布在多个类别上而不是单一类别上,因此攻击不太可能触发统计异常检测。因此,多目标后门攻击对FL系统构成了更复杂和现实的威胁,值得系统性地进行研究。
在本文中,我们首先探讨了一种直接的多目标后门攻击方法,该方法扩展了现有的单目标后门攻击(SBAs)的最先进技术(SOTA)。我们将这种基线方法称为NaiveAttack。NaiveAttack通过将对应于所有目标类别的触发器嵌入到本地数据集中来扩展SBAs。然而,NaiveAttack面临两个主要挑战:多目标触发器的优化效率有限,以及针对不同类别的触发器之间的干扰。这些问题阻碍了后门的性能,因为全局模型在更新过程中会受到干扰。
为了解决这个问题,我们提出了MasterKey,这是一种新型的多目标后门攻击,使攻击者能够在FL中灵活选择和针对多个类别。具体来说,MasterKey在本地训练一个基于目标的攻击模型,为每个样本生成与攻击者选择的目标相匹配的不同触发器。通过构建一个多目标后门数据集,攻击者通过带有触发器的中毒更新将后门注入全局模型。
我们在三个代表性数据集上进行了广泛的实验,包括CIFAR-10、GTSRB和CIFAR-100。实验结果表明,MasterKey实现了有效且可扩展的多目标后门攻击。此外,我们分析了MasterKey对各种防御机制的鲁棒性,揭示了它们的局限性。最后,我们评估了这两种攻击的持久性和视觉影响。结果表明,MasterKey注入的后门更加持久,并且不会引起显著的视觉干扰。
总结来说,我们的主要
贡献可以从以下方面概述:
•据我们所知,这项工作首次系统地研究了FL中的多目标后门攻击。我们提出了一个新的威胁模型,允许对手控制多个类别的模型预测,与单目标场景相比,潜在风险显著增加。
•我们提出了MasterKey,一种新型的多目标后门攻击框架。其核心创新在于一个基于目标的触发器生成器,它可以动态生成特定于样本的触发器,从根本上缓解了现有单目标攻击(例如NaiveAttack)的固有干扰和优化难题。
•我们在几个数据集上进行了全面的实证研究。结果证实了MasterKey在有效性、可扩展性和持久性方面的优越性能,同时通过展示其对最先进防御的抵抗能力和低视觉感知度证明了其隐蔽性。
本文的其余部分组织如下:第2节回顾了FL中现有的后门攻击和防御措施。第3节介绍了我们的威胁模型,并详细解释了MasterKey后门攻击。第4节展示了实验结果。第5节进行了分析和消融研究。最后,第6节总结了本文。
