哈尔滨工程大学计算机科学与技术学院师生撰写的论文,“Beyond Traditional Threats: A Persistent Backdoor Attack on Federated Learning”日前被Association for the Advancement of Artificial Intelligence(AAAI)接收。AAAI会议是由美国人工智能协会举办的国际性人工智能顶级学术会议,致力于人工智能领域的研究与应用进展,也是CCF推荐的A类会议。论文研究工作由博士生刘涛(第一作者)和硕士研究生张宇航(第二作者)、冯驻(第三作者)在杨武老师、苘大鹏老师(共同通信作者)的指导下共同完成。
论文的研究内容为联邦学习范式中的后门攻击,后门攻击在联邦学习中若想保持高效性和持久性主要面临两大挑战:一是由于中心服务的平均聚合操作对攻击者上传的恶意梯度的稀释导致后门效应不佳;二是当后门停止注入时,后续参加训练的干净样本对带毒全局模型的冲洗,导致后门的灾难性遗忘。所提出的FCBA攻击方法为解决上述问题做出了理论创新。FCBA能大幅提升分布式后门攻击在联邦学习中的持久性,其创新之处在于利用了组合学理论设计分布式触发器策略,使模型能更细粒度地学习触发器信息,更好地弥合“训练-推理”间的差距,更好地区分干净样本和毒样本,从而提高后门攻击的成功率和持久性。
FCBA首先通过根据攻击者指定的划分数,将全局触发器划分成多个部分并利用全组合公式对各部分进行所有可能的重组生成各本地触发器,并按分布式攻击设置将它们分配到各恶意客户端中分别训练。在注毒轮次,按一定的中毒比加入含有全组合触发器(FCT)的错分类样本进行训练,成功将后门注入本地模型。为提高本地模型对后门的学习能力,我们借鉴多任务学习中的经验,专门采用了更低的学习率和更多的本地迭代数来缓解后门的灾难性遗忘。然后,攻击者通过提交恶意更新参与聚合实现对全局模型的污染。这里,我们受模型替换思想的启发,用一个比例因子放大恶意梯度来确保后门在平均聚合中存活下来。最终的推理阶段,全局模型表现:一是干净样本上的正常行为;二是触发样本上的指定误分类行为。验证了FCBA在联邦学习上的有效性和持久性。
该攻击方法具有较强的通用性,对基于联邦学习范式的各类人工智能应用(CV、NLP、Speech等)产生严重威胁。本文旨在推动针对分布式学习中安全防御技术的发展,支持构建安全、可信的分布式人工智能应用。