| 论文英文名字 | Mitigating the Backdoor Attack by Federated Filters for Industrial IoT Applications |
|---|---|
| 论文中文名字 | 通过应用联合过滤器减轻工业物联网中的后门攻击 |
| 作者 | Boyu Hou, Jiqiang Gao, Xiaojie Guo, Thar Baker, Ying Zhang, Yanlong Wen, Zheli Liu |
| 来源 | IEEE Transactions on Industrial Informatics [SCI 1 区] |
| 年份 | 2022 年 1 月 |
| 作者动机 | (1)基于模型计算过程分析的防御违反了联邦学习隐私保护的需求(2)IIoT 应用程序由于带宽有限且网络连接不稳定无法重新训练其模型或及时下载最新的全局模型 |
| 阅读动机 | |
| 创新点 | 通过削弱恶意模型对受害者的影响来减轻后门攻击 |
内容总结
主要贡献
- 为联邦 IIoT 应用提出了一种有效的后门过滤器训练结构,以防御后门攻击。
- 在 XAI 模型的帮助下提出了有效的过滤器训练方法。
- 利用模糊标签翻转策略来清除可疑后门数据的后门触发区域。
预备知识
XAI 方法解释模型结果,以帮助研究人员评估模型是否学习了正确的特征。
防御方法
基于过滤器的防御体系结构
后门过滤器构造
- 服务器借助 XAI 模型通过检测输入的重要特征来识别触发区域。
- 利用区域的大小为特征制作数据集
- 使用数据集训练分类器
模糊标签翻转策略
- 对重要特征区域进行模糊
- 标签反转
实验
- 数据集:MINST 和 CIFAR 10
- 训练模型:LeNet 和 ResNet
- 评估指标:过滤器的有效性-识别后门图像的准确性;模糊标签翻转方法的性能-受害者模型在去触发数据上的准确性
实验结果
- 过滤器的性能同时与分类器和 XAI 部分有关。
- 只要后门攻击有效,过滤器的效果不受后门比例的影响。
- XAI 模型和分类器都不是滤波器性能的决定性因素。
- 过滤器行为与数据特征和网络结构密切相关。
- 模糊标签翻转策略更适合消除像素级触发器。
总结
- 本文提出了 FL 中的后门滤波器构造和基于模糊标签翻转策略的去触发器方法。该方法可以识别后门输入并校正模型结果。
- 推理阶段的防御
问题
将触发器放到主体部分?
使用低重要性特征的后门攻击在攻击轮次和后续轮次中具有更高的成功率。
优点:后门隐蔽性有所增加,防止后门被检测出来。 缺点:将触发器放在主体部分可能会影响主要任务的准确率
可以考虑做随机模式和位置的后门触发器