会员服务
攻击 · 差分 · 防御机制 · 差分隐私 · 后门攻击 ·
6 月 15 日
Your Privacy My Cloak: Backdoor Attacks on Differentially Private Federated Learning
翻译:你的隐私 我的伪装:针对差分隐私联邦学习的后门攻击
Xiaolin Li,Ning Wang,Ninghui Li,Wenhai Sun
Xiaolin Li,Ning Wang,Ninghui Li,Wenhai Sun

Prior research suggests that differential privacy (DP) inherently enhances the robustness of federated learning (FL) against backdoor attacks. In this paper, we challenge this assumption. Through an empirical analysis of two baseline attack strategies, we uncover a fundamental tension in DP-FL: while bypassing DP allows state-of-the-art defenses to detect and filter malicious updates, complying with DP inadvertently masks their distinguishing statistical characteristics. Consequently, existing defenses become ineffective as DP reduces the raw backdoor signal. Building on this masking effect, we propose RING, a novel attack that explicitly exploits DP to conceal malicious contributions while maximizing attack impact. By collaboratively crafting adversarial perturbations, compromised clients reconstruct a strong backdoor signal during aggregation without triggering anomaly detection. RING operates as a perturbation layer that is agnostic to the underlying backdoor technique, making it broadly applicable and composable with existing attacks -- a property that significantly amplifies the threat it poses to DP-FL. Extensive evaluations across four image and text datasets under non-iid distributions show that RING achieves an average attack success rate of 90.3% against six state-of-the-art defenses under a moderate privacy budget, an improvement of up to 26.08x over baseline strategies. Finally, we evaluate potential countermeasures and find that mitigating this threat incurs significant utility trade-offs, exposing a fundamental security gap in the deployment of differentially private FL.


翻译:先前研究表明,差分隐私(DP)本质上增强了联邦学习(FL)对后门攻击的鲁棒性。本文挑战了这一假设。通过对两种基线攻击策略的实证分析,我们揭示了DP-FL中存在的根本性矛盾:规避DP时,最先进的防御机制能够检测并过滤恶意更新;而遵循DP约束反而无意中掩盖了这些更新的区分性统计特征。因此,当DP削弱原始后门信号时,现有防御机制变得无效。基于这种掩盖效应,我们提出RING——一种明确利用DP隐藏恶意贡献同时最大化攻击效果的新型攻击方法。受损客户端通过协同构造对抗性扰动,在聚合过程中重建强后门信号而不触发异常检测。RING作为与底层后门技术无关的扰动层运作,具有广泛适用性和与现有攻击的可组合性——这种特性显著放大了其对DP-FL构成的威胁。在四种图像和文本数据集上非独立同分布条件下的广泛评估表明,在中等隐私预算下,RING针对六种最先进防御机制的平均攻击成功率达90.3%,比基线策略提升最高达26.08倍。最后,我们评估了潜在反制措施,发现缓解该威胁会引发显著的效用权衡,暴露了部署差分隐私FL时的根本性安全鸿沟。
0
下载
关闭预览

相关内容

差分隐私全指南:从理论基础到用户期望
差分隐私全指南:从理论基础到用户期望
专知会员服务
13+阅读 · 2025年9月8日
【新书】差分隐私,246页pdf
【新书】差分隐私,246页pdf
专知会员服务
27+阅读 · 2025年4月5日
【普林斯顿博士论文】在差分隐私机器学习中有效地从数据中学习并生成数据,189页pdf
【普林斯顿博士论文】在差分隐私机器学习中有效地从数据中学习并生成数据,189页pdf
专知会员服务
20+阅读 · 2024年10月18日
【普林斯顿博士论文】在差分隐私机器学习中有效地从数据中学习和生成数据
【普林斯顿博士论文】在差分隐私机器学习中有效地从数据中学习和生成数据
专知会员服务
16+阅读 · 2024年10月7日
【斯坦福博士论文】有效的差分隐私深度学习,153页pdf
【斯坦福博士论文】有效的差分隐私深度学习,153页pdf
专知会员服务
19+阅读 · 2024年7月10日
【新书】差分隐私实战:使用OpenDP进行理论与实践介绍,389页pdf
【新书】差分隐私实战:使用OpenDP进行理论与实践介绍,389页pdf
专知会员服务
29+阅读 · 2024年5月29日
【ICML2022】Neurotoxin:联邦学习的持久后门
【ICML2022】Neurotoxin:联邦学习的持久后门
专知会员服务
18+阅读 · 2022年6月26日
【CVPR 2022】基于本地正则化和稀疏化差分隐私的联邦学习,Differentially Private Federated Learning with Local Regularization and Sparsification
【CVPR 2022】基于本地正则化和稀疏化差分隐私的联邦学习,Differentially Private Federated Learning with Local Regularization and Sparsification
专知会员服务
17+阅读 · 2022年3月19日
联邦学习中的隐私和鲁棒性:攻击和防御, 杨强等学者最新综述论文,16页pdf
联邦学习中的隐私和鲁棒性:攻击和防御, 杨强等学者最新综述论文,16页pdf
专知会员服务
104+阅读 · 2021年2月3日
最新《分布式差分隐私》报告,65页ppt
专知会员服务
41+阅读 · 2020年12月1日
联邦学习如何处理异质性?港科大最新《异质联邦学习》综述,46页pdf全面阐述异质联邦学习的数据空间、统计、系统和模型异质性
联邦学习如何处理异质性?港科大最新《异质联邦学习》综述,46页pdf全面阐述异质联邦学习的数据空间、统计、系统和模型异质性
专知
11+阅读 · 2022年12月1日
「联邦学习隐私保护 」最新2022研究综述
「联邦学习隐私保护 」最新2022研究综述
专知
16+阅读 · 2022年4月1日
最新《联邦学习Federated Learning》报告,47页ppt
最新《联邦学习Federated Learning》报告,47页ppt
专知
48+阅读 · 2020年12月2日
联邦学习安全与隐私保护研究综述
联邦学习安全与隐私保护研究综述
专知
12+阅读 · 2020年8月7日
模型攻击:鲁棒性联邦学习研究的最新进展
模型攻击:鲁棒性联邦学习研究的最新进展
机器之心
35+阅读 · 2020年6月3日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
【AAAI2019教程】面向隐私安全保密的联邦学习与迁移学习,101页pdf
【AAAI2019教程】面向隐私安全保密的联邦学习与迁移学习,101页pdf
专知
47+阅读 · 2019年1月29日
差分隐私保护:从入门到脱坑
差分隐私保护:从入门到脱坑
FreeBuf
17+阅读 · 2018年9月10日
隐私和机器学习:两个意想不到的盟友?一文了解差分隐私
隐私和机器学习:两个意想不到的盟友?一文了解差分隐私
专知
21+阅读 · 2018年5月14日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
移动互联网的用户隐私保护研究
国家自然科学基金
2+阅读 · 2017年12月31日
面向网络系统的一致性安全隐私分析与防护机制设计
国家自然科学基金
2+阅读 · 2017年12月31日
面向时空特性的社交网络推演攻击与隐私保护关键技术研究
国家自然科学基金
4+阅读 · 2015年12月31日
满足差分隐私的频繁模式挖掘研究
国家自然科学基金
2+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向大数据的安全迁移学习方法
国家自然科学基金
31+阅读 · 2015年12月31日
面向异分布数据的主动学习方法
国家自然科学基金
12+阅读 · 2015年12月31日
即时通讯匿名隐通道系统模型与算法研究
国家自然科学基金
1+阅读 · 2015年12月31日
可证明的网络和数据匿名性及隐私增强身份管理关键技术研究
国家自然科学基金
3+阅读 · 2014年12月31日
Gaussian DP for Reporting Differential Privacy Guarantees in Machine Learning
Arxiv
0+阅读 · 6月16日
Convex Approximation of Two-Layer ReLU Networks for Hidden State Differential Privacy
Arxiv
0+阅读 · 6月15日
Multi-tier Differential Private Query Release
Arxiv
0+阅读 · 6月14日
Scalable and Private Federated Learning Using Distributed Differential Privacy and Secure Aggregation
Arxiv
0+阅读 · 6月6日
Topology-Aware Differential Privacy in Federated Learning
Arxiv
0+阅读 · 6月4日
IntraShuffler: A Privacy Preserving Framework for Heterogeneous DP Federated Learning
Arxiv
0+阅读 · 6月1日
Measuring Database Unfairness via Dependency Quantification Under Differential Privacy
Arxiv
0+阅读 · 5月21日
Informationally Compressive Anonymization: Non-Degrading Sensitive Input Protection for Privacy-Preserving Supervised Machine Learning
Arxiv
0+阅读 · 5月19日
Privacy-preserving Chunk Scheduling in a BitTorrent Implementation of Federated Learning
Arxiv
0+阅读 · 5月11日
Hammer and Anvil: Toward a Theory of Backdoors in Federated Learning
Arxiv
0+阅读 · 5月8日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
差分
防御机制
差分隐私
后门攻击
最新内容
ICML 2026 | CFPO:用反事实策略优化提升多模态推理
ICML 2026 | CFPO:用反事实策略优化提升多模态推理
专知会员服务
2+阅读 · 6月23日
综述 | 世界动作模型:少做梦,多行动
综述 | 世界动作模型:少做梦,多行动
专知会员服务
4+阅读 · 6月23日
美以伊冲突:无人机与人工智能的运用
美以伊冲突:无人机与人工智能的运用
专知会员服务
7+阅读 · 6月23日
《战时图神经网络:整合以色列-伊朗冲突中的网络安全与无人机智能》最新50页文献
《战时图神经网络:整合以色列-伊朗冲突中的网络安全与无人机智能》最新50页文献
专知会员服务
3+阅读 · 6月23日
《特种部队在透明战场中的生存力》最新报告
《特种部队在透明战场中的生存力》最新报告
专知会员服务
4+阅读 · 6月23日
《自主无人机蜂群协同与控制系统:人工智能赋能的战场协同与自主任务编排平台》
《自主无人机蜂群协同与控制系统:人工智能赋能的战场协同与自主任务编排平台》
专知会员服务
6+阅读 · 6月23日
《人工智能生成的零日漏洞:对未来作战的影响》
《人工智能生成的零日漏洞:对未来作战的影响》
专知会员服务
5+阅读 · 6月23日
《理解伙伴国在防务能力选择中的偏好:探索美国解决方案的替代选择》美智库200页报告
《理解伙伴国在防务能力选择中的偏好:探索美国解决方案的替代选择》美智库200页报告
专知会员服务
3+阅读 · 6月23日
ICML 2026 | 边界嵌入塑形:用自适应对比学习破解图结构纠缠
ICML 2026 | 边界嵌入塑形:用自适应对比学习破解图结构纠缠
专知会员服务
6+阅读 · 6月22日
综述 | 3D场景图:开放挑战与未来方向
综述 | 3D场景图:开放挑战与未来方向
专知会员服务
8+阅读 · 6月22日
《国防工业6.0:全自主作战系统、量子-人工智能融合与新一代战略威慑》
《国防工业6.0:全自主作战系统、量子-人工智能融合与新一代战略威慑》
专知会员服务
8+阅读 · 6月22日
21世纪的无人机战争
21世纪的无人机战争
专知会员服务
4+阅读 · 6月22日
《伊朗与以色列-美国热战及其对数字技术的影响》
《伊朗与以色列-美国热战及其对数字技术的影响》
专知会员服务
6+阅读 · 6月22日
《量子技术的军事任务技术适配与利用》
《量子技术的军事任务技术适配与利用》
专知会员服务
5+阅读 · 6月22日
《美国陆军军官学校(西点军校)本科生科研中生成式人工智能的使用》
《美国陆军军官学校(西点军校)本科生科研中生成式人工智能的使用》
专知会员服务
9+阅读 · 6月22日
相关VIP内容
差分隐私全指南:从理论基础到用户期望
差分隐私全指南:从理论基础到用户期望
专知会员服务
13+阅读 · 2025年9月8日
【新书】差分隐私,246页pdf
【新书】差分隐私,246页pdf
专知会员服务
27+阅读 · 2025年4月5日
【普林斯顿博士论文】在差分隐私机器学习中有效地从数据中学习并生成数据,189页pdf
【普林斯顿博士论文】在差分隐私机器学习中有效地从数据中学习并生成数据,189页pdf
专知会员服务
20+阅读 · 2024年10月18日
【普林斯顿博士论文】在差分隐私机器学习中有效地从数据中学习和生成数据
【普林斯顿博士论文】在差分隐私机器学习中有效地从数据中学习和生成数据
专知会员服务
16+阅读 · 2024年10月7日
【斯坦福博士论文】有效的差分隐私深度学习,153页pdf
【斯坦福博士论文】有效的差分隐私深度学习,153页pdf
专知会员服务
19+阅读 · 2024年7月10日
【新书】差分隐私实战:使用OpenDP进行理论与实践介绍,389页pdf
【新书】差分隐私实战:使用OpenDP进行理论与实践介绍,389页pdf
专知会员服务
29+阅读 · 2024年5月29日
【ICML2022】Neurotoxin:联邦学习的持久后门
【ICML2022】Neurotoxin:联邦学习的持久后门
专知会员服务
18+阅读 · 2022年6月26日
【CVPR 2022】基于本地正则化和稀疏化差分隐私的联邦学习,Differentially Private Federated Learning with Local Regularization and Sparsification
【CVPR 2022】基于本地正则化和稀疏化差分隐私的联邦学习,Differentially Private Federated Learning with Local Regularization and Sparsification
专知会员服务
17+阅读 · 2022年3月19日
联邦学习中的隐私和鲁棒性:攻击和防御, 杨强等学者最新综述论文,16页pdf
联邦学习中的隐私和鲁棒性:攻击和防御, 杨强等学者最新综述论文,16页pdf
专知会员服务
104+阅读 · 2021年2月3日
最新《分布式差分隐私》报告,65页ppt
专知会员服务
41+阅读 · 2020年12月1日
热门VIP内容
相关资讯
联邦学习如何处理异质性?港科大最新《异质联邦学习》综述,46页pdf全面阐述异质联邦学习的数据空间、统计、系统和模型异质性
联邦学习如何处理异质性?港科大最新《异质联邦学习》综述,46页pdf全面阐述异质联邦学习的数据空间、统计、系统和模型异质性
专知
11+阅读 · 2022年12月1日
「联邦学习隐私保护 」最新2022研究综述
「联邦学习隐私保护 」最新2022研究综述
专知
16+阅读 · 2022年4月1日
最新《联邦学习Federated Learning》报告,47页ppt
最新《联邦学习Federated Learning》报告,47页ppt
专知
48+阅读 · 2020年12月2日
联邦学习安全与隐私保护研究综述
联邦学习安全与隐私保护研究综述
专知
12+阅读 · 2020年8月7日
模型攻击:鲁棒性联邦学习研究的最新进展
模型攻击:鲁棒性联邦学习研究的最新进展
机器之心
35+阅读 · 2020年6月3日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
【AAAI2019教程】面向隐私安全保密的联邦学习与迁移学习,101页pdf
【AAAI2019教程】面向隐私安全保密的联邦学习与迁移学习,101页pdf
专知
47+阅读 · 2019年1月29日
差分隐私保护:从入门到脱坑
差分隐私保护:从入门到脱坑
FreeBuf
17+阅读 · 2018年9月10日
隐私和机器学习:两个意想不到的盟友?一文了解差分隐私
隐私和机器学习:两个意想不到的盟友?一文了解差分隐私
专知
21+阅读 · 2018年5月14日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
相关论文
Gaussian DP for Reporting Differential Privacy Guarantees in Machine Learning
Arxiv
0+阅读 · 6月16日
Convex Approximation of Two-Layer ReLU Networks for Hidden State Differential Privacy
Arxiv
0+阅读 · 6月15日
Multi-tier Differential Private Query Release
Arxiv
0+阅读 · 6月14日
Scalable and Private Federated Learning Using Distributed Differential Privacy and Secure Aggregation
Arxiv
0+阅读 · 6月6日
Topology-Aware Differential Privacy in Federated Learning
Arxiv
0+阅读 · 6月4日
IntraShuffler: A Privacy Preserving Framework for Heterogeneous DP Federated Learning
Arxiv
0+阅读 · 6月1日
Measuring Database Unfairness via Dependency Quantification Under Differential Privacy
Arxiv
0+阅读 · 5月21日
Informationally Compressive Anonymization: Non-Degrading Sensitive Input Protection for Privacy-Preserving Supervised Machine Learning
Arxiv
0+阅读 · 5月19日
Privacy-preserving Chunk Scheduling in a BitTorrent Implementation of Federated Learning
Arxiv
0+阅读 · 5月11日
Hammer and Anvil: Toward a Theory of Backdoors in Federated Learning
Arxiv
0+阅读 · 5月8日
相关基金
移动互联网的用户隐私保护研究
国家自然科学基金
2+阅读 · 2017年12月31日
面向网络系统的一致性安全隐私分析与防护机制设计
国家自然科学基金
2+阅读 · 2017年12月31日
面向时空特性的社交网络推演攻击与隐私保护关键技术研究
国家自然科学基金
4+阅读 · 2015年12月31日
满足差分隐私的频繁模式挖掘研究
国家自然科学基金
2+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向大数据的安全迁移学习方法
国家自然科学基金
31+阅读 · 2015年12月31日
面向异分布数据的主动学习方法
国家自然科学基金
12+阅读 · 2015年12月31日
即时通讯匿名隐通道系统模型与算法研究
国家自然科学基金
1+阅读 · 2015年12月31日
可证明的网络和数据匿名性及隐私增强身份管理关键技术研究
国家自然科学基金
3+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top