Beyond Corner Patches: Semantics-Aware Backdoor Attack in Federated Learning - 专知论文

会员服务 ·

0

Beyond Corner Patches: Semantics-Aware Backdoor Attack in Federated Learning

翻译：超越角块补丁：联邦学习中基于语义感知的后门攻击

Kavindu Herath,Joshua Zhao,Saurabh Bagchi

Backdoor attacks on federated learning (FL) are most often evaluated with synthetic corner patches or out-of-distribution (OOD) patterns that are unlikely to arise in practice. In this paper, we revisit the backdoor threat to standard FL (a single global model) under a more realistic setting where triggers must be semantically meaningful, in-distribution, and visually plausible. We propose SABLE, a Semantics-Aware Backdoor for LEarning in federated settings, which constructs natural, content-consistent triggers (e.g., semantic attribute changes such as sunglasses) and optimizes an aggregation-aware malicious objective with feature separation and parameter regularization to keep attacker updates close to benign ones. We instantiate SABLE on CelebA hair-color classification and the German Traffic Sign Recognition Benchmark (GTSRB), poisoning only a small, interpretable subset of each malicious client's local data while otherwise following the standard FL protocol. Across heterogeneous client partitions and multiple aggregation rules (FedAvg, Trimmed Mean, MultiKrum, and FLAME), our semantics-driven triggers achieve high targeted attack success rates while preserving benign test accuracy. These results show that semantics-aligned backdoors remain a potent and practical threat in federated learning, and that robustness claims based solely on synthetic patch triggers can be overly optimistic.

翻译：联邦学习中的后门攻击通常使用合成角块补丁或分布外模式进行评估，这些模式在实践中不太可能出现。本文在更现实的场景下重新审视了对标准联邦学习（单一全局模型）的后门威胁，其中触发器必须具有语义意义、分布内且视觉上合理。我们提出SABLE（Semantics-Aware Backdoor for LEarning），一种用于联邦环境下的语义感知后门攻击方法，该方法构建自然、内容一致的触发器（例如太阳镜等语义属性变化），并通过特征分离和参数正则化优化聚合感知的恶意目标，使攻击者的更新接近良性更新。我们在CelebA发色分类任务和德国交通标志识别基准（GTSRB）上实例化SABLE，仅毒化每个恶意客户端局部数据中一小部分可解释的子集，同时遵循标准联邦学习协议。在异构客户端分区和多种聚合规则（FedAvg、Trimmed Mean、MultiKrum 和 FLAME）下，我们的语义驱动触发器实现了高目标攻击成功率，同时保持了良性测试准确率。这些结果表明，语义对齐的后门仍然是联邦学习中强大且实际存在的威胁，而仅基于合成块触发器的鲁棒性声明可能过于乐观。

0

相关内容

计算机视觉领域的后门攻击与防御：综述

计算机视觉领域的后门攻击与防御：综述

专知会员服务

19+阅读 · 2025年9月13日

深度学习中的架构后门：漏洞、检测与防御综述

深度学习中的架构后门：漏洞、检测与防御综述

专知会员服务

12+阅读 · 2025年7月19日

面向深度学习的后门攻击及防御研究综述

面向深度学习的后门攻击及防御研究综述

专知会员服务

12+阅读 · 2025年7月4日

联邦学习中的成员推断攻击与防御：综述

联邦学习中的成员推断攻击与防御：综述

专知会员服务

17+阅读 · 2024年12月15日

通信网络中大型语言模型的后门攻击的综述

通信网络中大型语言模型的后门攻击的综述

专知会员服务

30+阅读 · 2023年9月5日

「联邦学习系统攻击与防御技术」最新2023研究综述

「联邦学习系统攻击与防御技术」最新2023研究综述

专知会员服务

41+阅读 · 2023年3月12日

《不同触发位置的多模型选择性后门攻击》韩国陆军士官学校2022最新论文

《不同触发位置的多模型选择性后门攻击》韩国陆军士官学校2022最新论文

专知会员服务

26+阅读 · 2022年11月16日

【ICML2022】Neurotoxin:联邦学习的持久后门

【ICML2022】Neurotoxin:联邦学习的持久后门

专知会员服务

18+阅读 · 2022年6月26日

首篇《后门学习综述》论文发布，阐述AI系统训练过程的安全性问题

专知会员服务

31+阅读 · 2020年11月21日

超越三元组:基于超关系知识图谱嵌入的链接预测，Beyond Triplets: Hyper-Relational Knowledge Graph Embedding for Link Prediction

专知会员服务

78+阅读 · 2020年5月11日

联邦学习如何处理异质性？港科大最新《异质联邦学习》综述，46页pdf全面阐述异质联邦学习的数据空间、统计、系统和模型异质性

联邦学习如何处理异质性？港科大最新《异质联邦学习》综述，46页pdf全面阐述异质联邦学习的数据空间、统计、系统和模型异质性

专知

11+阅读 · 2022年12月1日

「联邦学习隐私保护」最新2022研究综述

「联邦学习隐私保护」最新2022研究综述

专知

16+阅读 · 2022年4月1日

联邦学习研究综述

联邦学习研究综述

专知

11+阅读 · 2021年12月25日

联邦学习安全与隐私保护研究综述

联邦学习安全与隐私保护研究综述

专知

12+阅读 · 2020年8月7日

模型攻击：鲁棒性联邦学习研究的最新进展

模型攻击：鲁棒性联邦学习研究的最新进展

机器之心

35+阅读 · 2020年6月3日

【香港科技大学】联邦半监督学习综述，A Survey on Federated Semi-supervised Learning

【香港科技大学】联邦半监督学习综述，A Survey on Federated Semi-supervised Learning

专知

20+阅读 · 2020年2月28日

【联邦学习】联邦学习的研究及应用、联邦学习的多种可能性

【联邦学习】联邦学习的研究及应用、联邦学习的多种可能性

产业智能官

30+阅读 · 2019年5月24日

【对抗学习综述论文】-宾西法利亚大学-统计分类中的对抗性学习:对攻击防御的全面回顾

【对抗学习综述论文】-宾西法利亚大学-统计分类中的对抗性学习:对攻击防御的全面回顾

专知

23+阅读 · 2019年4月15日

联邦学习或将助力IoT走出“数据孤岛”？

联邦学习或将助力IoT走出“数据孤岛”？

中国计算机学会

20+阅读 · 2019年3月16日

吴恩达机器学习中文版笔记：异常检测（Anomaly Detection）

吴恩达机器学习中文版笔记：异常检测（Anomaly Detection）

大数据文摘

19+阅读 · 2018年4月29日

基于学习的智能化漏洞挖掘关键技术研究

国家自然科学基金

6+阅读 · 2017年12月31日

分布式有监督学习的学习理论

国家自然科学基金

17+阅读 · 2015年12月31日

满足差分隐私的频繁模式挖掘研究

国家自然科学基金

2+阅读 · 2015年12月31日

基于软件定义无线网络的虚拟多径攻击检测与防御技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

分布式中继网络中的物理层攻击检测技术研究

国家自然科学基金

0+阅读 · 2015年12月31日

模糊认知集群优化的聚类算法

国家自然科学基金

9+阅读 · 2015年12月31日

图像修补中结构矩阵的预处理方法与理论

国家自然科学基金

1+阅读 · 2015年12月31日

面向大规模多步学习问题的学习分类元系统技术研究

国家自然科学基金

5+阅读 · 2015年12月31日

基于扩展的概率转移矩阵模型的高精度快速广义门电路可靠性评估方法研究

国家自然科学基金

0+阅读 · 2015年12月31日

面向异分布数据的主动学习方法

国家自然科学基金

12+阅读 · 2015年12月31日

Prototype-Guided Robust Learning against Backdoor Attacks

Arxiv

0+阅读 · 4月26日

Defending against Backdoor Attacks via Module Switching

Arxiv

0+阅读 · 4月13日

BoBa: Boosting Backdoor Detection through Data Distribution Inference in Federated Learning

Arxiv

0+阅读 · 4月9日

Stealthy and Adjustable Text-Guided Backdoor Attacks on Multimodal Pretrained Models

Arxiv

0+阅读 · 4月7日

Beyond Corner Patches: Semantics-Aware Backdoor Attack in Federated Learning

Arxiv

0+阅读 · 3月31日

Mitigating Backdoor Attacks in Federated Learning Using PPA and MiniMax Game Theory

Arxiv

0+阅读 · 3月30日

Physical Backdoor Attack Against Deep Learning-Based Modulation Classification

Arxiv

0+阅读 · 3月26日

Structure-Aware Distributed Backdoor Attacks in Federated Learning

Arxiv

0+阅读 · 3月4日

Semantic-level Backdoor Attack against Text-to-Image Diffusion Models

Arxiv

0+阅读 · 3月3日

Is the Trigger Essential? A Feature-Based Triggerless Backdoor Attack in Vertical Federated Learning

Arxiv

0+阅读 · 2月24日

VIP会员

文章信息

相关主题

最新内容

BES：让语言模型通过双向进化搜索自我改进

BES：让语言模型通过双向进化搜索自我改进

专知会员服务

0+阅读 · 今天16:48

ICML 2026 | 揭开视觉语言模型计数瓶颈：看得到，却说不出

ICML 2026 | 揭开视觉语言模型计数瓶颈：看得到，却说不出

专知会员服务

0+阅读 · 今天16:47

以色列-美国-伊朗战争中的无人机：关键要点

以色列-美国-伊朗战争中的无人机：关键要点

专知会员服务

3+阅读 · 今天14:04

美以伊战争：首次人工智能战争——军事自主性困境

美以伊战争：首次人工智能战争——军事自主性困境

专知会员服务

3+阅读 · 今天13:54

《Palantir任务保障性软件安全标准（MA-S2）》

《Palantir任务保障性软件安全标准（MA-S2）》

专知会员服务

7+阅读 · 今天13:49

《美海军利用扩展现实增强知识流动研究》300页报告

《美海军利用扩展现实增强知识流动研究》300页报告

专知会员服务

4+阅读 · 今天13:38

基于声学的无人机检测技术综述

基于声学的无人机检测技术综述

专知会员服务

5+阅读 · 今天13:37

《当代混合战争分析框架：俄乌战争经验教训》

《当代混合战争分析框架：俄乌战争经验教训》

专知会员服务

5+阅读 · 今天13:11

生成式AI基础小册子绪论解读：一条数学地基路线，178页pdf

生成式AI基础小册子绪论解读：一条数学地基路线，178页pdf

专知会员服务

10+阅读 · 5月29日

AutoScientists：自组织智能体团队驱动长期科学实验

AutoScientists：自组织智能体团队驱动长期科学实验

专知会员服务

5+阅读 · 5月29日

《阿利·伯克级驱逐舰的战损修理：桌面推演结果》报告

《阿利·伯克级驱逐舰的战损修理：桌面推演结果》报告

专知会员服务

5+阅读 · 5月29日

战略前沿人工智能的再思考（中文）

战略前沿人工智能的再思考（中文）

专知会员服务

7+阅读 · 5月29日

《量化地基防空系统间接效应的博弈论方法》

《量化地基防空系统间接效应的博弈论方法》

专知会员服务

5+阅读 · 5月29日

传感器网络：美国如何探测来自伊朗的导弹与无人机

传感器网络：美国如何探测来自伊朗的导弹与无人机

专知会员服务

6+阅读 · 5月29日

《无人机战争中的经济不对称：伊朗“沙赫德-136”对抗以色列“铁穹”防御系统的案例研究》

《无人机战争中的经济不对称：伊朗“沙赫德-136”对抗以色列“铁穹”防御系统的案例研究》

专知会员服务

8+阅读 · 5月29日

相关VIP内容

计算机视觉领域的后门攻击与防御：综述

计算机视觉领域的后门攻击与防御：综述

专知会员服务

19+阅读 · 2025年9月13日

深度学习中的架构后门：漏洞、检测与防御综述

深度学习中的架构后门：漏洞、检测与防御综述

专知会员服务

12+阅读 · 2025年7月19日

面向深度学习的后门攻击及防御研究综述

面向深度学习的后门攻击及防御研究综述

专知会员服务

12+阅读 · 2025年7月4日

联邦学习中的成员推断攻击与防御：综述

联邦学习中的成员推断攻击与防御：综述

专知会员服务

17+阅读 · 2024年12月15日

通信网络中大型语言模型的后门攻击的综述

通信网络中大型语言模型的后门攻击的综述

专知会员服务

30+阅读 · 2023年9月5日

「联邦学习系统攻击与防御技术」最新2023研究综述

「联邦学习系统攻击与防御技术」最新2023研究综述

专知会员服务

41+阅读 · 2023年3月12日

《不同触发位置的多模型选择性后门攻击》韩国陆军士官学校2022最新论文

《不同触发位置的多模型选择性后门攻击》韩国陆军士官学校2022最新论文

专知会员服务

26+阅读 · 2022年11月16日

【ICML2022】Neurotoxin:联邦学习的持久后门

【ICML2022】Neurotoxin:联邦学习的持久后门

专知会员服务

18+阅读 · 2022年6月26日

首篇《后门学习综述》论文发布，阐述AI系统训练过程的安全性问题

专知会员服务

31+阅读 · 2020年11月21日

超越三元组:基于超关系知识图谱嵌入的链接预测，Beyond Triplets: Hyper-Relational Knowledge Graph Embedding for Link Prediction

专知会员服务

78+阅读 · 2020年5月11日

热门VIP内容

开通专知VIP会员享更多权益服务

ICML 2026 | 揭开视觉语言模型计数瓶颈：看得到，却说不出

美以伊战争：首次人工智能战争——军事自主性困境

BES：让语言模型通过双向进化搜索自我改进

以色列-美国-伊朗战争中的无人机：关键要点

相关资讯

联邦学习如何处理异质性？港科大最新《异质联邦学习》综述，46页pdf全面阐述异质联邦学习的数据空间、统计、系统和模型异质性

联邦学习如何处理异质性？港科大最新《异质联邦学习》综述，46页pdf全面阐述异质联邦学习的数据空间、统计、系统和模型异质性

专知

11+阅读 · 2022年12月1日

「联邦学习隐私保护」最新2022研究综述

「联邦学习隐私保护」最新2022研究综述

专知

16+阅读 · 2022年4月1日

联邦学习研究综述

联邦学习研究综述

专知

11+阅读 · 2021年12月25日

联邦学习安全与隐私保护研究综述

联邦学习安全与隐私保护研究综述

专知

12+阅读 · 2020年8月7日

模型攻击：鲁棒性联邦学习研究的最新进展

模型攻击：鲁棒性联邦学习研究的最新进展

机器之心

35+阅读 · 2020年6月3日

【香港科技大学】联邦半监督学习综述，A Survey on Federated Semi-supervised Learning

【香港科技大学】联邦半监督学习综述，A Survey on Federated Semi-supervised Learning

专知

20+阅读 · 2020年2月28日

【联邦学习】联邦学习的研究及应用、联邦学习的多种可能性

【联邦学习】联邦学习的研究及应用、联邦学习的多种可能性

产业智能官

30+阅读 · 2019年5月24日

【对抗学习综述论文】-宾西法利亚大学-统计分类中的对抗性学习:对攻击防御的全面回顾

【对抗学习综述论文】-宾西法利亚大学-统计分类中的对抗性学习:对攻击防御的全面回顾

专知

23+阅读 · 2019年4月15日

联邦学习或将助力IoT走出“数据孤岛”？

联邦学习或将助力IoT走出“数据孤岛”？

中国计算机学会

20+阅读 · 2019年3月16日

吴恩达机器学习中文版笔记：异常检测（Anomaly Detection）

吴恩达机器学习中文版笔记：异常检测（Anomaly Detection）

大数据文摘

19+阅读 · 2018年4月29日

相关论文

Prototype-Guided Robust Learning against Backdoor Attacks

Arxiv

0+阅读 · 4月26日

Defending against Backdoor Attacks via Module Switching

Arxiv

0+阅读 · 4月13日

BoBa: Boosting Backdoor Detection through Data Distribution Inference in Federated Learning

Arxiv

0+阅读 · 4月9日

Stealthy and Adjustable Text-Guided Backdoor Attacks on Multimodal Pretrained Models

Arxiv

0+阅读 · 4月7日

Beyond Corner Patches: Semantics-Aware Backdoor Attack in Federated Learning

Arxiv

0+阅读 · 3月31日

Mitigating Backdoor Attacks in Federated Learning Using PPA and MiniMax Game Theory

Arxiv

0+阅读 · 3月30日

Physical Backdoor Attack Against Deep Learning-Based Modulation Classification

Arxiv

0+阅读 · 3月26日

Structure-Aware Distributed Backdoor Attacks in Federated Learning

Arxiv

0+阅读 · 3月4日

Semantic-level Backdoor Attack against Text-to-Image Diffusion Models

Arxiv

0+阅读 · 3月3日

Is the Trigger Essential? A Feature-Based Triggerless Backdoor Attack in Vertical Federated Learning

Arxiv

0+阅读 · 2月24日

相关基金

基于学习的智能化漏洞挖掘关键技术研究

国家自然科学基金

6+阅读 · 2017年12月31日

分布式有监督学习的学习理论

国家自然科学基金

17+阅读 · 2015年12月31日

满足差分隐私的频繁模式挖掘研究

国家自然科学基金

2+阅读 · 2015年12月31日

基于软件定义无线网络的虚拟多径攻击检测与防御技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

分布式中继网络中的物理层攻击检测技术研究

国家自然科学基金

0+阅读 · 2015年12月31日

模糊认知集群优化的聚类算法

国家自然科学基金

9+阅读 · 2015年12月31日

图像修补中结构矩阵的预处理方法与理论

国家自然科学基金

1+阅读 · 2015年12月31日

面向大规模多步学习问题的学习分类元系统技术研究

国家自然科学基金

5+阅读 · 2015年12月31日

基于扩展的概率转移矩阵模型的高精度快速广义门电路可靠性评估方法研究

国家自然科学基金

0+阅读 · 2015年12月31日

面向异分布数据的主动学习方法

国家自然科学基金

12+阅读 · 2015年12月31日

微信扫码咨询专知VIP会员