連合学習 (FL) システムでは、分散クライアントがローカル モデルを中央サーバーにアップロードして、グローバル モデルに集約します。悪意のあるクライアントは、汚染されたローカル モデルをアップロードすることでグローバル モデルにバックドアを仕掛け、特定のパターンを持つ画像を一部のターゲット ラベルに誤分類する可能性があります。現在の攻撃によって植え付けられたバックドアは耐久性がなく、攻撃者がモデル ポイズニングを止めるとすぐに消えます。この論文では、FL バックドアの耐久性と、無害な画像と汚染された画像 (つまり、ローカル トレーニング中にラベルがターゲット ラベルに反転される画像) との関係との関係を調査します。具体的には、汚染されたイメージの元のラベルとターゲット ラベルが付いた無害なイメージが、バックドアの耐久性に重要な影響を与えることがわかっています。その結果、対照的な学習を利用して、より耐久性のあるバックドアに向けてそのような効果をさらに増幅する新しい攻撃、カメレオンを提案します。大規模な実験により、Chameleon は、幅広い画像データセット、バックドア タイプ、およびモデル アーキテクチャについて、バックドアの寿命をベースラインよりも 1.2 ~ 4 倍大幅に延長することが示されています。
In a federated learning (FL) system, distributed clients upload their local models to a central server to aggregate into a global model. Malicious clients may plant backdoors into the global model through uploading poisoned local models, causing images with specific patterns to be misclassified into some target labels. Backdoors planted by current attacks are not durable, and vanish quickly once the attackers stop model poisoning. In this paper, we investigate the connection between the durability of FL backdoors and the relationships between benign images and poisoned images (i.e., the images whose labels are flipped to the target label during local training). Specifically, benign images with the original and the target labels of the poisoned images are found to have key effects on backdoor durability. Consequently, we propose a novel attack, Chameleon, which utilizes contrastive learning to further amplify such effects towards a more durable backdoor. Extensive experiments demonstrate that Chameleon significantly extends the backdoor lifespan over baselines by 1.2×∼4×, for a wide range of image datasets, backdoor types, and model architectures.