基于生成式对抗网络的联邦学习后门攻击方案

陈大卫; 付安民; 周纯毅; 陈珍珠

doi:10.7544/issn1000-1239.2021.20210659

基于生成式对抗网络的联邦学习后门攻击方案

¹(南京理工大学计算机科学与工程学院南京 210094)
²(信息安全国家重点实验室(中国科学院信息工程研究所) 北京 100093) (894346698@qq.com)

基金项目: 国家自然科学基金项目(62072239)；信息安全国家重点实验室开放基金项目(2021-MS-07)；中央高校基本科研业务费专项资金(30920021129，30921013111)

详细信息

中图分类号: TP391
计量
- 文章访问数: 1121
- HTML全文浏览量: 6
- PDF下载量: 733
出版历程
- 发布日期: 2021-10-31

Federated Learning Backdoor Attack Scheme Based on Generative Adversarial Network

¹(School of Computer Science and Engineering, Nanjing University of Science & Technology, Nanjing 210094)
²(State Key Laboratory of Information Security (Institute of Information Engineering, Chinese Academy of Sciences), Beijing 100093)

Funds: This work was supported by the National Natural Science Foundation of China (62072239), the Open Foundation of the State Key Laboratory of Information Security of China (2021-MS-07), and the Fundamental Research Funds for the Central Universities (30920021129, 30921013111).

摘要

摘要: 联邦学习使用户在数据不出本地的情形下参与协作式的模型训练，降低了用户数据隐私泄露风险，广泛地应用于智慧金融、智慧医疗等领域.但联邦学习对后门攻击表现出固有的脆弱性，攻击者通过上传模型参数植入后门，一旦全局模型识别带有触发器的输入时，会按照攻击者指定的标签进行误分类.因此针对联邦学习提出了一种新型后门攻击方案Bac_GAN，通过结合生成式对抗网络技术将触发器以水印的形式植入干净样本，降低了触发器特征与干净样本特征之间的差异，提升了触发器的隐蔽性，并通过缩放后门模型，避免了参数聚合过程中后门贡献被抵消的问题，使得后门模型在短时间内达到收敛，从而显著提升了后门攻击成功率.此外，论文对触发器生成、水印系数、缩放系数等后门攻击核心要素进行了实验测试，给出了影响后门攻击性能的最佳参数，并在MNIST,CIFAR-10等数据集上验证了Bac_GAN方案的攻击有效性.
- 联邦学习 /
- 生成式对抗网络 /
- 后门攻击 /
- 触发器 /
- 水印
Abstract: Federated learning enables users to participate in collaborative model training while keeping their data in local, which ensures the privacy and security of users’ data. It has been widely used in smart finance, smart medical and other fields. However, federated learning shows inherent vulnerability to backdoor attacks, where the attacker implants the backdoor by uploading the model parameters. Once the global model recognizes the input with the trigger, it will misclassify the input as the label specified by the attacker. This paper proposes a new federated learning backdoor attack scheme, Bac_GAN. By combining generative adversarial network, triggers are implanted in clean samples in the form of watermarks, which reduces the discrepancy between trigger features and clean sample features, and enhance the imperceptibility of triggers. By scaling the backdoor model, the problem of offsetting the contribution of the backdoor during parameter aggregation is avoided, so that the backdoor model can converge in a short time, thus significantly increasing the attack success rate. In addition, we conduct experimental tests on the core elements of backdoor attacks, such as trigger generation, watermark coefficient and scaling coefficient, and give the best parameters that affect the performance of backdoor attack. Also, we validate the attack effectiveness of the Bac_GAN scheme on MNIST and CIFAR-10.
- federated learning /
- generative adversarial network /
- backdoor attack /
- trigger /
- watermark

HTML全文

参考文献(0)

施引文献(24)

期刊类型引用(12)

1.	李晓静，杨秀杰. 云计算环境下多模态异构网络数据安全存储方法. 现代电子技术. 2025(06): 63-67 . 百度学术
2.	李林，左天才，杜泽新，谢志奇. 基于LSM树的在线监测数据安全存储系统设计. 电子设计工程. 2024(07): 63-67 . 百度学术
3.	闫丽飞，褚宇宁，赵维伟，何壮壮，刘晓强. 大规模非结构化数据资源快速存储方法研究. 集成电路与嵌入式系统. 2024(04): 77-81 . 百度学术
4.	何博宇，潘洪志. 大数据环境下位置轨迹安全存储系统研究与实现. 电脑知识与技术. 2024(10): 77-80 . 百度学术
5.	巢成，蒲非凡，许建秋，高云君. 基于空间位置关系的轨迹数据高效降维和查询算法. 计算机研究与发展. 2024(07): 1771-1790 . 本站查看
6.	王芳，王建民，邵芬红. 多信道无线通信网络动态数据完整性存储仿真. 计算机仿真. 2024(07): 451-455 . 百度学术
7.	张铠，黄晋，汪希. 基于区块链技术的网络信息安全访问控制方法. 信息技术与信息化. 2024(09): 197-200 . 百度学术
8.	马明扬，杨洪勇，刘飞. 基于强化学习的双人博弈差分隐私保护研究. 复杂系统与复杂性科学. 2024(04): 107-114 . 百度学术
9.	李玉光，郗海龙. 物联网异构数据库分层访问算法仿真. 计算机仿真. 2023(03): 490-493+498 . 百度学术
10.	吕舰. 基于国密算法的网络通信传输数据安全存储方法. 长江信息通信. 2023(04): 171-174 . 百度学术
11.	王辉，陈宇，申自浩，刘沛骞. 结合对比监督和排序树的轨迹数据差分隐私保护方案. 计算机工程与科学. 2023(10): 1797-1805 . 百度学术
12.	王爱兵. 基于区块链的社区矫正系统数据分布式安全存储方法. 电脑知识与技术. 2023(28): 63-65 . 百度学术