Venomancer: Towards Imperceptible and Target-on-Demand Backdoor Attacks in Federated Learning

Federated Learning（FL）是一种分布式机器学习方法，通过在分散的数据源上进行训练来维护数据隐私。与集中式机器学习类似，FL也容易受到后门攻击的影响，攻击者可以通过将后门触发器注入这些客户端的本地模型来破坏某些客户端，从而导致全局模型的行为被攻击者所操纵。FL中的大多数后门攻击都假定预定义的目标类，并需要控制大量的客户端或了解良性客户端的信息。此外，它们不是不可察觉的，很容易被人类检查发现，因为它们在毒数据中留下了明显的痕迹。为了克服这些挑战，我们提出了Venomancer，一种有效的后门攻击，它是不可察觉的，并允许按需定位目标。具体而言，通过使用视觉损失函数使毒数据在视觉上与原始数据无法区分，实现了不可察觉性。通过条件对抗训练，目标按需属性允许攻击者选择任意目标类。此外，实验表明，该方法对Norm Clipping、Weak DP、Krum、Multi-Krum、RLR、FedRAD、Deepsight和RFLBAT等最先进的防御措施具有鲁棒性。源代码可在https://github.com/nguyenhongson1902/Venomancer上获得。

本论文旨在解决联邦学习中的后门攻击问题，提出了一种新的后门攻击方式Venomancer，并验证其有效性和鲁棒性。

Venomancer采用视觉损失函数使毒数据与原始数据在视觉上难以区分，同时通过条件对抗训练实现了按需选择任意目标类别。相比之前的后门攻击方法，Venomancer具有更好的隐蔽性和灵活性。

论文在多个实验中验证了Venomancer的有效性和鲁棒性，并表明其能够对抗当前最先进的防御方法。作者还提供了开源代码。

在最近的相关研究中，也有一些关于联邦学习中后门攻击的研究，例如《Backdoor Attacks to Federated Learning via Model Poisoning》、《Backdoor Attacks in Federated Learning with Attacker-Controlled Clients》等。