数据投毒攻击通过对恶意客户端的训练数据进行投毒,而模型投毒攻击则修改全局模型以嵌入后门。数据中毒攻击通常依赖于固定模式的触发器,或者通过在客户端本地数据上训练的模型来优化触发器模式。然而,这些方法有两个显著的缺点:首先,使用固定模式的触发器更有可能引发模型结构和参数的异常修改,从而增加被检测到的风险,特别是在涉及人工检查的场景中。其次,由于异质性,对本地模型有效的后门攻击可能对全局模型不具有同样的有效性。
在模型投毒攻击中,攻击者通常需要足够的系统先验信息,例如全局模型的结构、学习率和裁剪规范,以便在配备防御机制的服务器中避免被检测到。然而,这在现实场景中是不切实际的。此外,各种更灵活的防御策略正在涌现,使得成功发动后门攻击变得更加困难。
