一种基于联邦学习的双重模型替换后门攻击方法及系统

技术领域

本发明属于信息安全技术领域，具体涉及一种基于联邦学习的双重模型替换后门攻击方法及系统。

背景技术

近年来，联邦学习作为新兴的深度学习框架得到了极大的发展，其为了解决数据隐私问题，参与者的本地数据和训练过程无法被服务器访问。正是因为该特性，恶意攻击者可通过篡改本地数据集的方式将后门注入本地模型，进而通过上传中毒模型影响服务器端的聚合模型。对于研究人员来说，模型参数的黑盒性和不可解释性也带来极大的挑战。如何有效防范此类后门攻击仍是一个亟待解决的问题。同时，后门攻击方法的发展也引起了学术界和工业界的极大兴趣。

后门攻击手段主要从以下三个方面入手，分别为触发器生成、数据中毒、模型训练。在现有的触发器生成方法中，主要采用在图像上添加像素块或半透明的图案来作为后门触发器。触发器单一固定的特点降低了后门的隐蔽性。数据中毒是后门攻击中比较关键的一步，通过改变触发器在图像上的数量或样式来达到不同的攻击效果，但现阶段的后门攻击方案常常忽略对多目标攻击的研究。随着新的模型训练方法的不断出现，目前出现了针对模型训练阶段后门攻击的研究，其证明了联邦学习模型会遭到后门攻击，但这些研究中并没有结合最新的后门触发器或数据中毒方法。在联邦学习训练方法下的针对神经网络模型的后门攻击方案还存在着优化空间，例如触发器的隐蔽性不高，攻击目标单一等问题。因此，现阶段的后门攻击研究的目标为追求隐蔽的后门触发器、多样化的攻击目标、新颖的后门攻击模型训练方式。

围绕触发器的隐写效果：为了使后门触发器更加隐蔽，研究者们对于触发器的研究由可见触发器向隐写触发器转变。现有技术通过对触发器生成方法的不断改进来提升触发器的隐蔽性。然而，触发器在隐写性能与隐写容量之间还存在着进一步优化的空间。围绕数据中毒方法：通过合理的方法在图像上添加触发器，能够达到更加强大的后门攻击效果。现有技术通过改变触发器位置或使用多触发器实现了多目标攻击的目的，但图像上触发器的添加方式仍存在巨大的研究价值。围绕模型训练方法：在联邦学习下的后门攻击研究证实经过联邦学习的模型可以被注入存在后门。目前在联邦学下的后门攻击方法处于探索阶段，中毒训练算法仍需研究者们进一步发掘。

综合当前对于深度学习后门攻击的研究，基于联邦学习的多目标后门攻击方法仍存在以下挑战：

1.触发器隐蔽性。触发器的隐藏数据量对模型识别性能有很大影响，但提高触发器隐蔽性的同时会降低其所隐藏的数据量。如何平衡触发器隐蔽性与隐藏数据量是一个难题。

2.触发模式单一。在中毒数据总量不变的情况下，注入到训练集中的中毒数据变为了多种类型，中毒数据集的分割势必会影响到后门的注入效率。如何提高多触发模式下后门的注入效率成为挑战。

3.联邦学习后门攻击。联邦学习训练策略是通过聚合本地模型参数来实现全局模型训练，本地后门模型训练过程与参数上传权重决定着后门攻击的效果。如何实现联邦学习本地的多目标后门注入是一个值得研究的问题。

综上所述，本发明提出了一种基于联邦学习的双重模型替换后门攻击方法，引入隐写触发器生成和多目标图像中毒攻击方法，不仅实现了联邦学习下隐写触发器的多目标后门攻击，也提高了后门攻击的成功率。

发明内容

针对现有技术存在的不足，本发明提出了一种基于联邦学习的双重模型替换后门攻击方法及系统，该方法包括：

S1：构建TrojanGan模型并进行优化训练，得到预训练的TrojanGan编码器；

S2：根据图像中毒攻击方法，采用TrojanGan编码器构建预训练后门模型；

S3：根据预训练后门模型进行联邦学习训练，得到多目标后门攻击聚合模型；

S4：采用多目标后门攻击聚合模型对多目标后门攻击图像进行分类，得到攻击结果。

优选的，所述TrojanGan模型包括编码器、解码器和判别器，编码器、解码器和判别器均由3个Trojan Block模块和1个输出卷积层组成；所述Trojan Block模块由大小为3×3的卷积核且填充为1的卷积层、激活函数ReLu、数据归一化层和CBAM注意力机制层组成。

进一步的，所述编码器和所述解码器结构相同，Trojan Block模块间添加连接，将早期卷积块审查的特征映射连接到后期卷积块生成的特征映射中。

进一步的，训练编码器和解码器的联合训练损失函数为：

其中，

进一步的，训练判别器的损失函数为：

其中，

优选的，构建预训练后门模型的过程包括：

获取图像训练数据集；从图像训练数据集中每个类别中随机抽取等量数据样本；对抽取的数据样本进行图像分割，得到左触发器设置区域、设置右触发器区域和组合触发器设置区域；

采用TrojanGan编码器根据原始图像的左触发器设置区域制作左触发器中毒数据集；

采用TrojanGan编码器根据原始图像的右触发器设置区域制作右触发器中毒数据集；

采用TrojanGan编码器根据原始图像的组合触发器设置区域制作组合触发器中毒数据集；

合并左触发器中毒数据集、右触发器中毒数据集、组合触发器中毒数据集和剩余图像训练数据集，得到总中毒数据集；

采用总中毒数据集训练本地模型，得到预训练后门模型。

优选的，根据预训练后门模型进行联邦学习训练的过程包括：

融合预训练后门模型和聚合模型，得到后门融合模型；

采用后门融合模型替换本地模型，完成第一次替换；

调整上传权重以扩大后门融合模型的影响力，得到中毒模型；上传中毒模型，使得原聚合模型被后门融合模型替换，完成第二次替换，得到最终的多目标后门攻击聚合模型。

进一步的，融合预训练后门模型和聚合模型的公式为：

X

其中，X

进一步的，调整上传权重的公式为：

其中，G

一种基于联邦学习的双重模型替换后门攻击系统，包括：TrojanGan模型构建模块、预训练后门模型构建模块和多目标后门攻击聚合模型训练模块，多目标后门攻击图像攻击模块；

所述TrojanGan模型构建模块用于构建TrojanGan模型；

所述预训练后门模型构建模块用于根据TrojanGan模型构建预训练后门模型；

所述多目标后门攻击聚合模型训练模块用于根据预训练后门模型训练多目标后门攻击聚合模型；

所述多目标后门攻击图像攻击模块用于采用多目标后门攻击图像对多目标后门攻击聚合模型进行攻击，得到攻击结果。

本发明的有益效果为：本发明构建了以编码器-解码器结构为基础的TrojanGan图像隐写模型，增强了后门触发器的隐蔽性，优化了图像上隐藏信息的分布位置与密度，可有效提升图像隐写效果；本发明提出图像中毒攻击方法CTA，其通过构建包含组合触发器的多类型的中毒数据集，将隐藏于数据集中的不同的后门植入预训练模型，通过触发器的复用实现多目标后门攻击。同时，组合触发器与单触发器在不同区域存在的重合特性，缓解了中毒数据集分散而导致的后门注入效率低的问题；本发明通过双重模型替换方法，即替换本地模型与修改上传模型权重，提高中毒参数在所有上传参数中影响力，使各个后门在平均算法稀释后仍存在于聚合模型中，提高了模型中多个后门的注入效率与攻击的成功率，同时保持联邦学习聚合模型的正常识别性能。

附图说明

图1为本发明中基于联邦学习的双重模型替换后门攻击方法整体框图；

图2为本发明中TrojanGan模型结构示意图；

图3为本发明中隐写触发器展示图；

图4为本发明中联邦学习后门攻击示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提出了一种基于联邦学习的双重模型替换后门攻击方法及系统，如图1所示，所述方法包括以下内容：

S1：构建TrojanGan模型并进行优化训练，得到预训练的TrojanGan编码器。

以Trojan Block模块为基础构建TrojanGan模型，其包括编码器T

如图2所示，为了缓解梯度消失的问题，本发明采用DenseNet风络的网络结构，编码器T

解码器T

由于判别器只需关注图像相似度，故判别器T

Trojan Block模块由大小为3×3的卷积核且填充为1的卷积层、激活函数ReLu、数据归一化层和CBAM注意力机制层组成。通过在Trojan Block模块中加入CBAM注意力层，关注图像的独立特征，从而改变不同图像上的隐藏信息的位置和密度，提高触发器的抗检测性。

本发明通过训练迭代优化TrojanGan模型，联合优化3个损失函数以优化编码器-解码器。编码器-解码器的损失函数包括三部分，分别为交叉熵损失

交叉熵损失

为了不断提高编码-解码信息准确性，计算输入信息与解码信息的相似性，本发明采用交叉熵损失

其中，M表示输入编码器的隐藏信息，M

LPIPS损失

图像感知损失采用深度学习的方式处理图像之间的相似度，相比于传统的图像相似度计算方法更符合人类的感知情况；了优化封面图像与隐写图像的相似性，本发明选择采用使用LPIPS损失：

其中，W

判别器损失

为了不断优化编码器的图像生成性能，让生成的隐写图像更加真实，本文借助判别器来对编码器产生的图像真实性进行评判，使用判别器损失

其中，T

因此，TrojanGan模型的联合训练损失

通过最小化联合联合训练损失，有利于提高模型编码-解码准确性和图像隐写性能。

判别器性能的决定着编码图像的真实性，本发明采用Wasserstein损失

S2：根据图像中毒攻击方法，采用TrojanGan编码器构建预训练后门模型。

本发明采用图像中毒攻击方法CTA(Combination Trigger Attack)构建预训练后门模型；具体过程如下：

图像分割：

获取图像训练数据集；从图像训练数据集中每个类别中随机抽取等量数据样本；即：对于分辨率为W×H的图像样本实例x∈D

构建总中毒数据集D

令{t

采用TrojanGan编码器根据原始图像的左触发器设置区域制作左触发器中毒数据集；中毒子数据集D

D

其中，T

采用TrojanGan编码器根据原始图像的右触发器设置区域制作右触发器中毒数据集；中毒子数据集D

D

其中，x

采用TrojanGan编码器根据原始图像的组合触发器设置区域制作组合触发器中毒数据集；中毒子数据集D

D

其中，x

合并左触发器中毒数据集、右触发器中毒数据集、组合触发器中毒数据集和剩余图像训练数据集，得到总中毒数据集D

D

其中，

构建预训练后门模型：

采用总中毒数据集训练本地模型，得到预训练后门模型R。

如图3所示，其展示了图像及其对应的触发器类型，其中第1列为原始图像，第2、3列表示添加了左触发器的图像及其对应的触发器形态，攻击信息为rabbit。第4、5列表示添加了右触发器的图像及其对应的触发器形态，攻击信息为fish。通过复用左触发器和右触发器，第6、7列表示添加了组合触发器的图像及其对应的触发器形态，即左右触发器组合。

S3：根据预训练后门模型进行联邦学习训练，得到多目标后门攻击聚合模型。

设定联邦学习后门攻击者能力。设定联邦学习下攻击者拥有控制权限如下：(1)攻击者可以完全控制所拥有的本地训练数据集；(2)攻击者可以完全控制本地训练过程，例如修改本地模型参数和更新训练超参数；(3)攻击者可以动态的调整本地训练过程，并修改子模型的上传权重。攻击者没有的控制权限如下：(1)攻击者没有联邦学习服务器的权限，即无法影响服务器端的聚合算法；(2)攻击者无法影响其它正常训练参与者的本地训练过程。

本发明采用DMR-FLBA联邦学习后门训练算法根据预训练后门模型进行联邦学习训练。其过程如下：

融合预训练后门模型和聚合模型，得到后门融合模型

模型融合方式为：

X

其中，X

采用后门融合模型替换本地模型，完成第一次替换，通过第一次模型替换在本地同时注入多个后门；联邦学习攻击者不进行本地模型训练，而将预训练后门模型与聚合模型相融合形成后门融合模型进行参数上传，保证本地后门模型在正常数据集和不同类型中毒数据集上的识别性能，并且保证本地后门模型不会过于偏离聚合模型。

调整上传权重以扩大后门融合模型的影响力，得到中毒模型；上传中毒模型，使得原聚合模型被后门融合模型替换，完成第二次替换，得到最终的多目标后门攻击聚合模型。具体的：

联邦学习聚合模型G

完成第二次替换，需将上述公式中的聚合模型G

其中，对于正常的本地模型

因此中毒模型表示为：

其中，通过缩放超参数即上传权重

当中毒终端上传中毒模型

对于有不同攻击目标的后门实例x

其中，G

根据上述公式调整上传权重，得到最终的中毒模型，上传中毒模型，使得原聚合模型被后门融合模型替换，可得到最终的多目标后门攻击聚合模型。

如图4所示，其展示了本发明中联邦学习下的聚合模型训练过程，其中左边区域代表后门攻击者拥有的控制权限，攻击者引入预训练模型通过模型融合修改本地模型参数，并进一步修改上传的模型参数。右边区域代表正常的联邦学习参与者，参与者们使用预定的数据集进行联邦学习本地训练。

S4：采用多目标后门攻击聚合模型对多目标后门攻击图像进行分类，得到攻击结果。

将图像输入多目标后门攻击聚合模型中，可得到模型的分类结果；该模型可检测出多目标后门攻击图像，该模型的多后门注入效率与攻击成功率高，同时，该模型保持了联邦学习聚合模型的正常识别性能。本发明可产生高质量的攻击样本，通过分析这些攻击样本，可构建后门防御模型以保障安全。

本发明还提供一种基于联邦学习的双重模型替换后门攻击系统，该系统可执行上述一种基于联邦学习的双重模型替换后门攻击方法；包括：TrojanGan模型构建模块、预训练后门模型构建模块和多目标后门攻击聚合模型训练模块，多目标后门攻击图像攻击模块；

所述TrojanGan模型构建模块用于构建TrojanGan模型；

所述预训练后门模型构建模块用于根据TrojanGan模型构建预训练后门模型；

所述多目标后门攻击聚合模型训练模块用于根据预训练后门模型训练多目标后门攻击聚合模型；

所述多目标后门攻击图像攻击模块用于采用多目标后门攻击图像对多目标后门攻击聚合模型进行攻击，得到攻击结果。

综上所述，首先，针对后门触发器隐蔽性差的问题，考虑到注意力机制在特征增强上的优势，以及DenseNet网络在图像隐写上的优势，设计了编码器-解码器结构的TrojanGan隐写模型。该模型可将特定的攻击信息编码为不可见噪声并附加在图像上作为后门触发器，从而提高了后门触发器的隐蔽性。其次，针对后门触发模式单一的问题，提出了一种名为组合触发攻击的图像中毒攻击方法CTA(Combination Trigger Attack)。该方法通过复用组合触发器，进而实现多后门触发，并增强后门的抗检测性。同时，在图像上利用复用组合触发器来产生新的攻击效果，进而提高了后门攻击的鲁棒性。最后，针对局部训练机制导致后门攻击成功率下降的问题，结合TrojanGan隐写模型和CTA图像中毒攻击方法，设计了一种基于联邦学习的双重模型替换后门攻击算法(Dual Model ReplacementFederal Learning Backdoor Attack，DMR-FLBA)。通过使用预训练后门模型替换本地模型，修改上传模型权重替换聚合模型的方法，保持联邦学习聚合模型性能的同时，提高后门攻击的成功率。

以上所举实施例，对本发明的目的、技术方案和优点进行了进一步的详细说明，所应理解的是，以上所举实施例仅为本发明的优选实施方式而已，并不用以限制本发明，凡在本发明的精神和原则之内对本发明所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。