摘要

本文探讨了联邦学习（FL）中的非合作性后门攻击（NBA），这是一种新型的安全威胁。在这种攻击中，独立的恶意客户端引入特定的触发器和目标类别，利用FL的去中心化特性，使得检测变得困难。实验表明，FL系统对这种攻击非常脆弱，单个后门可以在不影响主要任务的情况下成功学习。研究强调了在不断发展的FL环境中，需要强大的防御机制来对抗多样化的后门攻击。虽然本文主要关注实证分析，但我们相信这可以指导后门研究向更现实的设置发展，并强调FL在构建对抗多样化后门威胁的强大防御中的关键作用。

原理

非合作性后门攻击（NBA）的工作原理是，多个恶意客户端独立行动，每个客户端都有自己独特的后门触发器和目标类别。这些客户端在训练过程中引入特定的输入模式（触发器），使得模型在部署时对这些模式进行错误的分类。由于这些攻击是并行进行的，且每个客户端的触发器和目标类别不同，这使得传统的检测方法难以识别。此外，这些攻击利用了FL的去中心化特性，使得攻击者可以在不影响模型主要功能的情况下，成功地植入后门。

流程

在NBA攻击中，每个恶意客户端独立地选择一个独特的触发器和目标类别。这些客户端在训练过程中引入这些触发器，通过模型更新将其传递给中央服务器。服务器聚合所有客户端的模型参数，更新全局模型，并将更新后的模型发送回每个客户端。这个过程重复进行，直到全局模型收敛。由于每个客户端的触发器和目标类别不同，且攻击是并行的，这使得检测和防御变得非常困难。

应用

NBA攻击的研究揭示了联邦学习系统中的一个重要安全漏洞。未来，这种攻击可能会被恶意参与者利用，特别是在涉及多个独立参与者的FL系统中。因此，开发有效的防御机制来检测和缓解这种攻击至关重要。此外，研究结果还可以用于设计更安全的FL框架，确保数据隐私和模型完整性。