伟徳国际官网登录入口師生撰寫的論文,“Beyond Traditional Threats: A Persistent Backdoor Attack on Federated Learning”日前被Association for the Advancement of Artificial Intelligence(AAAI)接收。AAAI會議是由美國人工智能協會舉辦的國際性人工智能頂級學術會議,緻力于人工智能領域的研究與應用進展,也是CCF推薦的A類會議。論文研究工作由博士生劉濤(第一作者)和碩士研究生張宇航(第二作者)、馮駐(第三作者)在楊武老師、苘大鵬老師(共同通信作者)的指導下共同完成。
論文的研究内容為聯邦學習範式中的後門攻擊,後門攻擊在聯邦學習中若想保持高效性和持久性主要面臨兩大挑戰:一是由于中心服務的平均聚合操作對攻擊者上傳的惡意梯度的稀釋導緻後門效應不佳;二是當後門停止注入時,後續參加訓練的幹淨樣本對帶毒全局模型的沖洗,導緻後門的災難性遺忘。所提出的FCBA攻擊方法為解決上述問題做出了理論創新。FCBA能大幅提升分布式後門攻擊在聯邦學習中的持久性,其創新之處在于利用了組合學理論設計分布式觸發器策略,使模型能更細粒度地學習觸發器信息,更好地彌合“訓練-推理”間的差距,更好地區分幹淨樣本和毒樣本,從而提高後門攻擊的成功率和持久性。
FCBA首先通過根據攻擊者指定的劃分數,将全局觸發器劃分成多個部分并利用全組合公式對各部分進行所有可能的重組生成各本地觸發器,并按分布式攻擊設置将它們分配到各惡意客戶端中分别訓練。在注毒輪次,按一定的中毒比加入含有全組合觸發器(FCT)的錯分類樣本進行訓練,成功将後門注入本地模型。為提高本地模型對後門的學習能力,我們借鑒多任務學習中的經驗,專門采用了更低的學習率和更多的本地疊代數來緩解後門的災難性遺忘。然後,攻擊者通過提交惡意更新參與聚合實現對全局模型的污染。這裡,我們受模型替換思想的啟發,用一個比例因子放大惡意梯度來确保後門在平均聚合中存活下來。最終的推理階段,全局模型表現:一是幹淨樣本上的正常行為;二是觸發樣本上的指定誤分類行為。驗證了FCBA在聯邦學習上的有效性和持久性。
該攻擊方法具有較強的通用性,對基于聯邦學習範式的各類人工智能應用(CV、NLP、Speech等)産生嚴重威脅。本文旨在推動針對分布式學習中安全防禦技術的發展,支持構建安全、可信的分布式人工智能應用。