A Vision-Language Pre-training Model-Guided Approach for Mitigating Backdoor Attacks in Federated Learning
2508.10315v1
cs.LG, cs.AI
2025-08-16
Авторы:
Keke Gai, Dongjue Wang, Jing Yu, Liehuang Zhu, Qi Wu
Резюме на русском
## Контекст
Современные федеративные системы обучения сталкиваются с возрастающей угрозой загрязнения моделей с помощью вредоносных атак типа "бэкдор". Эти атаки внедряют в модель порождающие доверие к нейтивным объектам или действиям вредоносные субъекты, находящиеся в клиентских сетях. Традиционные методы защиты основываются на предположении, что данные клиентов являются хомогенными или что доступен чистый серверный набор данных. Однако в реальных условиях такие предположения часто не выполняются, что приводит к эффективности защиты сомнительности. Главной целью этой работы является развитие метода, который мог бы позволить обучать модели в условиях Non-IID данных, сохраняя высокую эффективность и защиту от вредоносных вмешательств.
## Метод
Модель CLIP-Fed использует предварительно обученную модель CLIP (Contrastive Language-Image Pre-training), которая предлагает мощные возможности zero-shot learning для определения классов с помощью визуальных и текстовых признаков. Разработанная фреймворм подразделяется на две основные стратегии: **pre-aggregation defense** и **post-aggregation defense**. Прежде чем выполнять обучение на клиентских моделях, CLIP-Fed использует генеративный подход, основанный на multimodal language model, для расширения серверного набора данных. Это позволяет увеличить контекст и уменьшить влияние данных, внедренных с помощью "бэкдоров". Затем, в процессе обучения серверной модели, CLIP-Fed использует prototype contrastive loss и Kullback-Leibler divergence для выравнивания классов и устранения корреляции между триггером и целевыми метками.
## Результаты
Эксперименты проводились на датасетах CIFAR-10 и CIFAR-10-LT. Метрики, использованные для оценки эффективности защиты, включали Attack Success Rate (ASR) и Model Accuracy (MA). В сравнении с другими текущими методами, CLIP-Fed достиг параметров ASR в 2.03% на CIFAR-10 и 1.35% на CIFAR-10-LT, что является значительным удовлетворением. Метрика MA также повысилась до 7.92% на CIFAR-10 и 0.48% на CIFAR-10-LT. Эти результаты показали, что CLIP-Fed может эффективно защитить модель от бэкдор-атак, даже в ситуациях Non-IID, не ухудшая основные параметры обучения.
## Значимость
CLIP-Fed может быть применено в ситуациях, где клиенты используют Non-IID данные, но требуют высокой эффективности и безопасности моделей. Например, в системах с большим числом клиентов, таких как IoT-сети или медицинские приложения, где защита от вредоносных атак критична. CLIP-Fed предлагает преимущества в увеличении силы защиты, уменьшении атаки и улучшении основных метрик модели. Будущие исследования будут ориентированы на повышение универсальности модели и ее применение в адаптивном защитном фреймворке
Abstract
Existing backdoor defense methods in Federated Learning (FL) rely on the
assumption of homogeneous client data distributions or the availability of a
clean serve dataset, which limits the practicality and effectiveness. Defending
against backdoor attacks under heterogeneous client data distributions while
preserving model performance remains a significant challenge. In this paper, we
propose a FL backdoor defense framework named CLIP-Fed, which leverages the
zero-shot learning capabilities of vision-language pre-training models. By
integrating both pre-aggregation and post-aggregation defense strategies,
CLIP-Fed overcomes the limitations of Non-IID imposed on defense effectiveness.
To address privacy concerns and enhance the coverage of the dataset against
diverse triggers, we construct and augment the server dataset using the
multimodal large language model and frequency analysis without any client
samples. To address class prototype deviations caused by backdoor samples and
eliminate the correlation between trigger patterns and target labels, CLIP-Fed
aligns the knowledge of the global model and CLIP on the augmented dataset
using prototype contrastive loss and Kullback-Leibler divergence. Extensive
experiments on representative datasets validate the effectiveness of CLIP-Fed.
Compared to state-of-the-art methods, CLIP-Fed achieves an average reduction in
ASR, i.e., 2.03\% on CIFAR-10 and 1.35\% on CIFAR-10-LT, while improving
average MA by 7.92\% and 0.48\%, respectively.
Ссылки и действия
Дополнительные ресурсы: