On the Out-of-Distribution Backdoor Attack for Federated Learning
2509.13219v1
cs.LG, cs.CR
2025-09-18
Авторы:
Jiahao Xu, Zikai Zhang, Rui Hu
Резюме на русском
## Контекст
Федеративное обучение (FL) — это метод машинного обучения, в котором несколько устройств обучают модель вместе, при этом данные остаются на своих устройствах. Однако существуют проблемы безопасности, особенно связанные с атаками на обучение с участием нескольких узлов. Одна из таких угроз — бэкдорный атака. Обычные бэкдорные атаки в FL ограничиваются конкретными сценариями, так как они требуют видимых триггеров и модификаций входных данных. Это ограничение способствует их неэффективности в реальной жизни. Мы предлагаем новую модель бэкдорной атаки, которая использует данные, отклоняющиеся от распределения (OOD), как как злонамеренные образцы, так и триггеры. Эта подход расширяет возможности бэкдорных атак в FL и демонстрирует их реальную опасность.
## Метод
Наше решение состоит из двух компонентов. Мы предлагаем $\mathtt{OBA}$ — новую модель атаки, использующую данные, отклоняющиеся от распределения (OOD), как триггеры и злонамеренные образцы. Для укрепления невидимости $\mathtt{OBA}$, мы предлагаем $\mathtt{SoDa}$ — метод, который контролирует область действия злонамеренных моделей локального обучения. Это достигается за счет того, чтобы соотношение между магнитудой и направлением локальных моделей было близко к их безопасным версиям. Это позволяет $\mathtt{SoDa}$ действовать бесподозрительно и успешно пройти существующие защитные методы.
## Результаты
Мы провести ряд экспериментов, используя различные наборы данных и защитные методы. $\mathtt{OBA}$ демонстрирует эффективность в обходе текущих систем защиты, при этом сохраняя высокую точность в основной задаче обучения. Это показывает его высокую эффективность и скрытость. Мы также проверили $\mathtt{BNGuard}$ — нашу защитную систему против $\mathtt{SoDa}$. Результаты показывают, что $\mathtt{BNGuard}$ эффективно обнаруживает и исключает злонамеренные модели, улучшая устойчивость FL к атакам.
## Значимость
Предлагаемые методы имеют широкие области применения. $\mathtt{OBA}$ может применяться в сценариях, где необходимо протестировать системы на выявление недостатков безопасности. $\mathtt{SoDa}$ может применяться в защите от других видов атак в FL. Также, $\mathtt{BNGuard}$ может быть использован в системах FL для раскрытия и борьбы с новыми формами бэкдорных атак. Эти методы могут существенно улучшить безопасность и надежность FL в реальных условиях применения.
## Выводы
Мы представили новую модель бэкдорной атаки, которая расширяет возможности FL-систем. Мы также разработали защитный метод, который эффективно справляется с данной угрозой. Наши резуль
Abstract
Traditional backdoor attacks in federated learning (FL) operate within
constrained attack scenarios, as they depend on visible triggers and require
physical modifications to the target object, which limits their practicality.
To address this limitation, we introduce a novel backdoor attack prototype for
FL called the out-of-distribution (OOD) backdoor attack ($\mathtt{OBA}$), which
uses OOD data as both poisoned samples and triggers simultaneously. Our
approach significantly broadens the scope of backdoor attack scenarios in FL.
To improve the stealthiness of $\mathtt{OBA}$, we propose $\mathtt{SoDa}$,
which regularizes both the magnitude and direction of malicious local models
during local training, aligning them closely with their benign versions to
evade detection. Empirical results demonstrate that $\mathtt{OBA}$ effectively
circumvents state-of-the-art defenses while maintaining high accuracy on the
main task.
To address this security vulnerability in the FL system, we introduce
$\mathtt{BNGuard}$, a new server-side defense method tailored against
$\mathtt{SoDa}$. $\mathtt{BNGuard}$ leverages the observation that OOD data
causes significant deviations in the running statistics of batch normalization
layers. This allows $\mathtt{BNGuard}$ to identify malicious model updates and
exclude them from aggregation, thereby enhancing the backdoor robustness of FL.
Extensive experiments across various settings show the effectiveness of
$\mathtt{BNGuard}$ on defending against $\mathtt{SoDa}$. The code is available
at https://github.com/JiiahaoXU/SoDa-BNGuard.
Ссылки и действия
Дополнительные ресурсы: