一种面向联邦学习的隐形后门攻击方法、系统及设备技术方案

技术编号：44186229 阅读：23 留言：0更新日期：2025-02-06 18:27

本发明专利技术提出一种面向联邦学习的隐形后门攻击方法、系统及设备，适用于n个参与方(n≥2)的联邦学习场景，其中m个为攻击者(m<n/2)。其目标是在全局模型上同时实现两个效果：对正常样本保持高识别准确率，并对后门样本以高准确率识别为攻击者指定的标签。方法包括两个阶段：首先，攻击者根据训练任务创建攻击模型，并通过梯度下降生成不可察觉的扰动，逐步提高攻击效果；其次，在训练阶段，攻击者使用已训练的攻击模型，对本地数据添加噪声用于生成后门样本，污染本地模型。随后，攻击者将恶意客户端的模型参数上传至服务器，参与全局模型聚合，从而污染全局模型。该发明专利技术具有较强的攻击隐蔽性，为联邦学习中的防御机制设计提供了新研究思路。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术提供一种面向联邦学习的隐形后门攻击方法、系统及设备，属于联邦学习对抗投毒攻击。

技术介绍

0、技术背景

1、在联邦学习的场景下，模型的安全性和鲁棒性面临多种威胁，其中后门攻击是常见且具高度隐蔽性的一类攻击方式。后门攻击的基本思路是通过对本地训练数据或模型参数的篡改，在模型中注入恶意触发器，使得模型在正常情况下可以准确地执行任务，但当输入特定的触发器时，模型会产生错误的输出，从而实现攻击者的预期目标。

2、与传统的集中式学习不同，联邦学习中各个参与方的数据是去中心化的，模型的更新是在本地完成的，然后发送到中心服务器进行聚合。这种分布式的特性为后门攻击提供了可乘之机。攻击者可以利用本地模型更新的独立性，在本地数据或模型中注入后门触发器，同时不影响模型对正常数据的性能，从而使攻击难以被检测。典型的后门攻击方式包括在训练数据中加入特定的模式(例如某种像素图案)作为触发器，或通过恶意修改模型的梯度，使模型在某些特定输入下做出预定的错误决策。

3、后门攻击的隐蔽性使得它在联邦学习中的检测和防御变得极为困...

【技术保护点】

1.一种面向联邦学习的隐形后门攻击方法，其特征在于，包括如下步骤：

2.根据权利要求1所述的一种面向联邦学习的隐形后门攻击方法，其特征在于，所述步骤1具体包括：

3.根据权利要求2所述的一种面向联邦学习的隐形后门攻击方法，其特征在于，所述步骤2中具体步骤为：

4.根据权利要求3所述的一种面向联邦学习的隐形后门攻击方法，其特征在于，所述步骤3中，在每轮联邦学习模型聚合时，攻击者操作恶意客户端上传被污染的本地模型参数至服务端，参与联邦学习聚合并污染全局模型。

5.一种面向联邦学习的隐形后门攻击系统，其特征在于，包括：