随着人工智能逐渐走向大规模和分布式,联邦学习作为一种隐私保护的分布式模型训练技术逐渐成为研究人员的关注重点。联邦学习可以在多方数据拥有者不进行数据共享的情况下,共同学习得到一个全局最优的机器学习模型。但联邦学习框架分布式特性也带来了潜在恶意参与者。本意为避免第三方进行隐私窥探的安全聚合协议,却使得针对联邦学习算法的模型攻击变得更加隐蔽且难以检测。基于数据投毒的后门攻击是一种隐蔽性极高的模型攻击方法,其目标是将隐藏后门嵌入到深度学习模型中,使得后门模型在良性样本上表现良好,而隐藏后门在攻击者定义的触发器激活下,预测结果可以发生定向恶意更改。联邦学习中的恶意节点对数据拥有完全的控制权,这为后门攻击进行数据投毒提供了天然攻击环境。联邦学习中的后门攻击,可以通过恶意参与者的投毒传递到整个联邦学习环境,危害性极强。本文深入研究了联邦学习系统中的多后门攻击问题,提出了一种触发器生成技术,为后门攻击引入了目标特征;同时,提出了一种针对联邦学习的多后门攻击方案,有效破坏了模型的鲁棒性。主要研究工作如下:1.本文提出了一种基于生成对抗网络的触发器生成方案,可以在联邦学习训练之前完成触发器生成,保证后门攻击在联邦学习中的实施。通过特征提取网络提取目标标签的数据特征,并将其作为生成对抗网络的输入条件,增强了后门模型对目标标签的学习能力。通过设计GAN损失函数形式,使得生成的低可见性触发器可以平滑注入良性数据。实验结果表明,在可见性得分上,本文触发器生成方案优于先前的触发器方案。实验还证明了本文触发器触发的后门攻击效果显著且不会被用户察觉。此外,本文触发器后门攻击效果与对抗攻击不同,并不会受到模型差异影响。2.本文研究了基于多目标优化的多后门攻击方案,可以在单次后门训练中兼顾不同的后门攻击任务,同时保证主任务的识别精度。多后门攻击考虑到了需要多种触发器共同定位目标的情况,还大大增加了后门攻击的灵活度和闪避性,使得后门攻击的危害性进一步加强。本文通过理论分析解释了所提多后门攻击的攻击有效性。本文在联邦学习场景中,将上述两种技术结合提出单触发器触发和多触发器叠加触发两种多后门攻击方案。实验表明,本文所提两种多后门攻击,在攻击成功率和模型进度下降两项指标上均取得了优秀的攻击效果。进一步地,两种多后门攻击方案可以轻松越过Neural Cleanse防御方法的防御。为了进一步探索多后门攻击的特性,本文还通过组织联邦学习环境中的多个攻击者,进行分布式多后门攻击,并与单个攻击者的多后门攻击方法进行了对比。