Dual Model Replacement:invisible Multi-target Backdoor Attack based on Federal Learning

近年来，证明了隐藏在联邦学习模型参数中的神经网络后门具有巨大的安全风险。考虑到后门攻击中触发器生成、数据污染和模型训练的特点，本文设计了一种基于联邦学习的后门攻击方法。首先，针对后门触发器的隐蔽性，设计了一种具有编码器-解码器结构的TrojanGan隐写模型。该模型可以将特定的攻击信息编码为不可见的噪声，并将其附加到图像上作为后门触发器，从而提高了后门触发器的隐蔽性和数据转换。其次，针对单一后门触发器模式的问题，提出了一种称为组合触发器攻击的图像污染攻击方法。该方法通过多路复用组合触发器实现多后门触发，并提高了后门攻击的鲁棒性。最后，针对本地训练机制导致后门攻击成功率下降的问题，设计了一种基于联邦学习的双模型替换后门攻击算法。该方法可以在保持联邦学习聚合模型性能的同时提高后门攻击的成功率。实验表明，本文中的攻击策略在联邦学习下不仅可以实现高后门隐蔽性和触发器形式的多样化，还可以在多目标攻击中取得良好的攻击成功率。

设计一种基于联邦学习的后门攻击方法，解决后门触发器的隐蔽性和数据转换性问题，同时提高后门攻击的成功率和多目标攻击的鲁棒性。

本论文提出了一种基于TrojanGan的隐写术模型，可以将特定的攻击信息编码为不可见的噪声并附加到图像上作为后门触发器，提高了后门触发器的隐蔽性和数据转换性；同时提出了组合触发攻击方法，通过多路复用组合触发器实现多后门触发，提高了后门攻击的鲁棒性；最后，设计了基于联邦学习的双模型替换后门攻击算法，可以在保持联邦学习聚合模型性能的同时提高后门攻击的成功率。

本论文的攻击策略不仅可以在联邦学习下实现高后门隐蔽性和触发器形式的多样性，还可以在多目标攻击中实现良好的攻击成功率。

最近的相关研究包括： 1. "DeepInspect: A Black-box Trojan Detection and Mitigation Framework for Deep Neural Networks"； 2. "Backdoor Attacks and Defenses in Deep Learning: A Survey"； 3. "DeepSigns: An End-to-End Watermarking Framework for Protecting the Ownership of Deep Neural Networks"。