【技術實現步驟摘要】
本專利技術提供一種面向聯邦學習的隱形后門攻擊方法、系統及設備,屬于聯邦學習對抗投毒攻擊。
技術介紹
0、技術背景
1、在聯邦學習的場景下,模型的安全性和魯棒性面臨多種威脅,其中后門攻擊是常見且具高度隱蔽性的一類攻擊方式。后門攻擊的基本思路是通過對本地訓練數據或模型參數的篡改,在模型中注入惡意觸發器,使得模型在正常情況下可以準確地執行任務,但當輸入特定的觸發器時,模型會產生錯誤的輸出,從而實現攻擊者的預期目標。
2、與傳統的集中式學習不同,聯邦學習中各個參與方的數據是去中心化的,模型的更新是在本地完成的,然后發送到中心服務器進行聚合。這種分布式的特性為后門攻擊提供了可乘之機。攻擊者可以利用本地模型更新的獨立性,在本地數據或模型中注入后門觸發器,同時不影響模型對正常數據的性能,從而使攻擊難以被檢測。典型的后門攻擊方式包括在訓練數據中加入特定的模式(例如某種像素圖案)作為觸發器,或通過惡意修改模型的梯度,使模型在某些特定輸入下做出預定的錯誤決策。
3、后門攻擊的隱蔽性使得它在聯邦學習中的檢測和防御變得極為困難。由于中心服務器無法直接訪問各客戶端的數據,后門觸發器的注入和影響主要發生在本地模型的訓練過程中。因此,攻擊者可以通過本地訓練的惡意更新影響全局模型,而全局模型在面對正常輸入時表現良好,但當輸入包含觸發器時,會按照攻擊者的預設進行錯誤判斷。
4、研究發現,后門攻擊的效果可以通過設計更隱蔽的觸發器以及選擇合適的注入策略來增強。此外,在不同的攻擊場景下,后門觸發器的設計與其對全局模型的影
5、這種技術背景下,深入研究如何檢測和防御后門攻擊,以及提高攻擊的隱蔽性和精確性,成為聯邦學習安全研究中的一個重要方向,因此,本專利技術提出了一種面向聯邦學習的隱形后門攻擊方法。這種攻擊方法不僅難以被檢測,還能夠在不同攻擊場景下實現更精準的模型操控,從而對聯邦學習系統構成更大的威脅,為聯邦學習的防御方法提供的研究方向。
技術實現思路
1、本專利技術的主要目的在于克服現有聯邦學習后門攻擊技術中的不足,提供一種面向聯邦學習的隱形后門攻擊方法、系統及設備。
2、為了實現上述目的,本專利技術的詳細技術方案如下:
3、一種面向聯邦學習的隱形后門攻擊方法,包括如下步驟:
4、步驟1:聯邦學習訓練任務開始前,攻擊者根據分類任務,首先,創建一個攻擊模型,其作用是用來生成不可見的噪聲;其次,攻擊者在惡意客戶端上對攻擊模型通過梯度下降進行優化,這一過程通過不斷優化后門噪聲使其隱蔽且有效,逐步提高對本地模型的攻擊效果,最終在擾動不可察覺的前提下收斂至最佳狀態,得到訓練后的攻擊模型。
5、步驟2:在聯邦學習聚合過程中,攻擊者首先在惡意客戶端使用最佳攻擊模型生成隱蔽的噪聲,通過對惡意客戶端本地訓練樣本添加這些噪聲以生成后門樣本,并將這些后門樣本的標簽更改為后門標簽,惡意客戶端基于這些樣本進行本地訓練,污染本地模型;
6、步驟3:攻擊者將惡意客戶端本地模型參數上傳至服務端參與模型聚合,污染全局模型。
7、2.根據步驟1所述的一種面向聯邦學習的隱形后門攻擊方法,其特征在于,所述步驟1具體包括:
8、在聯邦學習任務開始之前,攻擊者確認本次聯邦學習分類任務,根據分類任務創建一個攻擊模型,并在惡意客戶端預訓練攻擊模型;本專利技術中,訓練攻擊模型時數據集使用mnist,分類模型使用vgg19;
9、對于在惡意客戶端預訓練攻擊模型,首先,初始化攻擊模型的參數,并根據輸入的干凈樣本生成初始的微小噪聲,用以創建后門樣本。接著,在每次迭代中,基于本地模型在污染樣本上的分類結果,計算損失函數,并通過梯度下降更新攻擊模型的參數,使其逐步生成更加隱蔽且有效的后門噪聲。其次,在優化過程中,通過設定擾動幅度的限制,確保生成的后門噪聲在視覺上不可察覺,同時成功誘導本地模型錯誤分類。最后,經過若干次交替更新攻擊模型和本地模型,當本地模型在后門樣本上的攻擊成功率和干凈數據上的分類性能均達到預期效果時,攻擊模型的參數最終收斂至最佳狀態,得到訓練后的最優攻擊模型。
10、3.根據步驟2所述的一種面向聯邦學習的隱形后門攻擊方法,其特征在于,所述步驟2中具體步驟為:
11、定義如下聯邦學習場景,假設有n個參與方參與訓練,n>=2,其中有m個參與方是攻擊者,m<n/2,聯邦學習場景中,每個參與方的本地訓練實際上可以看作傳統機器學習模型訓練過程,攻擊者通過解決一個非線性約束優化問題,實現針對聯邦學習模型的后門攻擊:
12、t(x)=x+g(x)
13、f(x)=y,f(t(x))=η(y)
14、
15、其中,h(x)是攻擊模型生成的噪聲。t(x)為中毒樣本,f(x)為干凈樣本,θ為本地模型更新后的參數,為干凈樣本本地訓練的損失函數,為后門樣本本地訓練的損失函數,α、β為平衡因子總和為1,用來平衡兩種損失,并加速本地模型θ更新,最終最小化總損失值lall。
16、在聯邦學習訓練過程中,本專利技術通過選擇合適的平衡因子α、β使干凈樣本的損失和投毒樣本的損失形成一個對抗更新,對抗性目標是強制t(x)的預測成為后門標簽η(y)的行為,同時最小化本地模型對干凈樣本x的預測損失,最終最小化總損失lall,達到污染本地模型的目的,使本地模型對干凈樣本有較高的識別準確率,對后門樣本識別為后門標簽有較高的準確率;
17、4.根據步驟3所述的一種面向聯邦學習的隱形后門攻擊方法,其特征在于,所述步驟3中,在每輪聯邦學習模型聚合時,攻擊者操作惡意客戶端上傳被污染的本地模型參數至服務端,參與聯邦學習聚合并污染全局模型。
18、5.一種面向聯邦學習的隱形后門攻擊系統,其特征在于,包括:
19、攻擊者創建并預訓練攻擊模型模塊:攻擊者根據聯邦學習分類任務創建攻擊模型,并在惡意客戶端上對攻擊模型通過梯度下降進行優化,這一過程通過不斷優化后門噪聲使其隱蔽且有效,逐步提高對本地模型的攻擊效果,最終在噪聲不可察覺的前提下收斂至最佳狀態,得到最優攻擊模型。訓練攻擊模型的目的是當聯邦學習訓練開始時,攻擊者能夠在惡意客戶端直接使用攻擊模型生成最優噪聲;
20、搭建聯邦學習場景模塊:使用flwr(flower,federated?learning?withrobustness)框架搭建聯邦學習場景,該場景由1個服務端、2個正常客戶端、1個攻擊者操作的惡意客戶端組成,模擬聯邦學習訓練場景;
21、攻擊者操縱惡意客戶端污染聯邦學習全局模型模塊:在每輪聯邦學習訓練階段,惡意客戶端首先利用最優攻擊模型生成隱蔽的噪聲,其次將噪聲注入本地訓練樣本中生成后門樣本,利用惡意客戶端的本地模型對干凈樣本和后門本文檔來自技高網...
【技術保護點】
1.一種面向聯邦學習的隱形后門攻擊方法,其特征在于,包括如下步驟:
2.根據權利要求1所述的一種面向聯邦學習的隱形后門攻擊方法,其特征在于,所述步驟1具體包括:
3.根據權利要求2所述的一種面向聯邦學習的隱形后門攻擊方法,其特征在于,所述步驟2中具體步驟為:
4.根據權利要求3所述的一種面向聯邦學習的隱形后門攻擊方法,其特征在于,所述步驟3中,在每輪聯邦學習模型聚合時,攻擊者操作惡意客戶端上傳被污染的本地模型參數至服務端,參與聯邦學習聚合并污染全局模型。
5.一種面向聯邦學習的隱形后門攻擊系統,其特征在于,包括:
6.一種設備,其特征在于:包括個人設備、云服務器、網絡邊緣設備;
【技術特征摘要】
1.一種面向聯邦學習的隱形后門攻擊方法,其特征在于,包括如下步驟:
2.根據權利要求1所述的一種面向聯邦學習的隱形后門攻擊方法,其特征在于,所述步驟1具體包括:
3.根據權利要求2所述的一種面向聯邦學習的隱形后門攻擊方法,其特征在于,所述步驟2中具體步驟為:
4.根據權利要求3所述的一...
【專利技術屬性】
技術研發人員:葛繼科,凌勁,汪波,馮漫蔓,馮兵,何明坤,譚杰,張一帆,孔偉權,陳祖琴,于希南,
申請(專利權)人:重慶科技大學,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。