网络与信息安全学报 ›› 2023, Vol. 9 ›› Issue (4): 90-103.doi: 10.11959/j.issn.2096-109x.2023056
• 学术论文 • 上一篇
汪德刚, 孙奕, 周传鑫, 高琦, 杨帆
修回日期:
2022-05-30
出版日期:
2023-08-01
发布日期:
2023-08-01
作者简介:
汪德刚(1996- ),男,陕西安康人,信息工程大学硕士生,主要研究方向为数据安全交换、恶意检测Degang WANG, Yi SUN, Chuanxin ZHOU, Qi GAO, Fan YANG
Revised:
2022-05-30
Online:
2023-08-01
Published:
2023-08-01
摘要:
联邦学习主要通过源数据不出本地而仅交互模型参数的方式保护参与共享用户数据的隐私安全,然而其仍然面临众多安全挑战,目前研究者主要针对如何增强模型隐私保护和检测恶意模型攻击等问题展开较为广泛的研究,然而利用联邦学习过程中频繁交互的模型数据进行恶意代码夹带导致风险扩散的问题鲜有研究。针对联邦学习训练过程中通过模型传递恶意代码导致风险扩散的问题,提出一种基于模型相似度的模型恶意代码夹带检测方法。通过分析联邦学习本地模型与全局模型的迭代过程,提出计算模型距离的方法,并使用模型距离量化模型之间的相似度,最终根据各客户端模型之间的相似度对携带恶意代码的模型进行检测。实验结果表明,提出的检测方法具有较好的性能指标,当训练集为独立同分布时,在178 MB大小的模型中嵌入0.375 MB恶意代码,检测方法的真正率为82.9%,误报率为1.8%;嵌入0.75 MB恶意代码时,检测方法的真正率为 96.6%,误报率为 0.38%。当训练集为非独立同分布时,检测方法的准确率随恶意代码嵌入率以及联邦学习训练轮数的增加而增加。在对恶意代码进行加密的情况下,提出的检测方法仍然能够达到 90%以上的准确率。在多攻击者的场景中,攻击者数量已知与未知时的检测方法准确率均能保持在90%左右。
中图分类号:
汪德刚, 孙奕, 周传鑫, 高琦, 杨帆. 基于模型相似度的模型恶意代码夹带检测方法[J]. 网络与信息安全学报, 2023, 9(4): 90-103.
Degang WANG, Yi SUN, Chuanxin ZHOU, Qi GAO, Fan YANG. Malicious code within model detection method based on model similarity[J]. Chinese Journal of Network and Information Security, 2023, 9(4): 90-103.
表1
载体模型参数分布及大小Table 1 Distribution and size of carrier parameters"
模型名称 | 数据集 | 层类型 | 参数数量 | 参数总大小 |
CNNMnis | MNIST | Conv-1 | 260 | 85 kB |
t | Conv-2 | 5 020 | ||
FC1 | 16 050 | |||
FC2 | 510 | |||
AlexNet | Fashion | Conv-1 | 11 712 | 178 MB |
MNIST | Conv-2 | 614 656 | ||
Conv-3 | 885 120 | |||
Conv-4 | 1 327 488 | |||
Conv-5 | 884 992 | |||
FC1 | 26 218 496 | |||
FC2 | 16 781 312 | |||
FC3 | 40 970 |
[1] | MCMAHAN B , MOORE E , RAMAGE D ,et al. Communication-efficient learning of deep networks from decentralized data[C]// Artificial Intelligence and Statistics (AISTATS). 2017: 1273-1282. |
[2] | FREDRIKSON M , JHA S , RISTENPART T . Model inversion attacks that exploit confidence information and basic countermeasures[C]// Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security (CCS). 2015: 1322-1333. |
[3] | HITAJ B , ATENIESE G , PEREZ-CRUZ F . Deep models under the GAN:information leakage from collaborative deep learning[C]// Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security (CCS). 2017: 603-618. |
[4] | SHOKRI R , STRONATI M , SONG C ,et al. Membership inference attacks against machine learning models[C]// 2017 IEEE Symposium on Security and Privacy (S&P). 2017: 3-18. |
[5] | TRAMèR F , ZHANG F , JUELS A ,et al. Stealing machine learning models via prediction {APIs}[C]// 25th USENIX Security Symposium (USENIX Security 16). 2016: 601-618. |
[6] | GU T , DOLAN-GAVITT B , GARG S . Badnets:identifying vulnerabilities in the machine learning model supply chain[J]. arXiv Preprint arXiv:1708.06733, 2017. |
[7] | JI Y , ZHANG X , WANG T . Backdoor attacks against learning systems[C]// 2017 IEEE Conference on Communications and Network Security. 2017: 1-9. |
[8] | BAGDASARYAN E , VEIT A , HUA Y ,et al. How to backdoor federated learning[C]// International Conference on Artificial Intelligence and Statistics (AISTATS 2020). 2020: 2938-2948. |
[9] | JI Y , ZHANG X , JI S ,et al. Model-reuse attacks on deep learning systems[C]// Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security (CCS 2018). 2018: 349-363. |
[10] | YAO Y , LI H , ZHENG H ,et al. Regula sub-rosa:latent backdoor attacks on deep neural networks[J]. arXiv Preprint arXiv:1905.10447, 2019. |
[11] | YAO Y , LI H , ZHENG H ,et al. Latent backdoor attacks on deep neural networks[C]// Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security (CCS 2019). 2019: 2041-2055. |
[12] | BHAGOJI A N , CHAKRABORTY S , MITTAL P ,et al. Analyzing federated learning through an adversarial lens[C]// International Conference on Machine Learning (ICML). 2019: 634-643. |
[13] | CARLINI N , LIU C , ERLINGSSON ú ,et al. The secret sharer:evaluating and testing unintended memorization in neural networks[C]// 28th USENIX Security Symposium (USENIX Security 19). 2019: 267-284. |
[14] | LIU T , LIU Z , LIU Q ,et al. StegoNet:turn deep neural network into a stegomalware[C]// Annual Computer Security Applications Conference (ACSAC'20). 2020: 928-938. |
[15] | WANG Z , LIU C , CUI X . EvilModel:hiding malware inside of neural network models[C]// 2021 IEEE Symposium on Computers and Communications (ISCC). 2021: 1-7. |
[16] | WANG D G , SUN Y , ZHOU C X . A covert communication method based on gradient model[C]// 2021 IEEE 6th International Conference on Signal and Image Processing (ICSIP). 2021: 926-930. |
[17] | 周传鑫, 孙奕, 汪德刚 ,等. 联邦学习研究综述[J]. 网络与信息安全学报, 2021,7(5): 77-92. |
ZHOU C X , SUN Y , WANG D G ,et al. Survey of federated learning research[J]. Chinese Journal of Network and Information Security, 2021,7(5): 77-92. | |
[18] | LYU L , YU H , ZHAO J ,et al. Threats to federated learning[M]// Federated Learning. Berlin: Springer, 2020: 3-16. |
[19] | PROVOS N , HONEYMAN P . Hide and seek:an introduction to steganography[J]. IEEE Security & Privacy, 2003,1(3): 32-44. |
[20] | CHAN C K , CHENG L M . Hiding data in images by simple LSB substitution[J]. Pattern Recognition, 2004,37(3): 469-474. |
[21] | KAHAN W . IEEE standard 754 for binary floating-point arithmetic[J]. Lecture Notes on the Status of IEEE, 1996:11. |
[22] | FRIDRICH J , GOLJAN M , DU R . Reliable detection of LSB steganography in color and grayscale images[C]// Proceedings of the 2001 Workshop on Multimedia and Security:New Challenges (MM&Sec). 2001: 27-30. |
[23] | InQuest malware-samples[EB]. 2022. |
[24] | 范铭, 刘烃, 刘均 ,等. 安卓恶意软件检测方法综述[J]. 中国科学:信息科学, 2020,50(8): 1148-1177. |
FAN M , LIU T , LIU J ,et al. Android malware detection:a survey[J]. Scientia Sinica Informationis, 2020,50(8): 1148-1177. |
[1] | 黄诗瑀, 叶锋, 黄添强, 李伟, 黄丽清, 罗海峰. 人脸伪造与检测中的对抗攻防综述[J]. 网络与信息安全学报, 2023, 9(4): 1-15. |
[2] | 于玥, 林宪正, 李卫海, 俞能海. 基于哈夫曼的k-匿名模型隐私保护数据压缩方案[J]. 网络与信息安全学报, 2023, 9(4): 64-73. |
[3] | 叶天鹏, 林祥, 李建华, 张轩凯, 许力文. 面向雾计算的个性化轻量级分布式网络入侵检测系统[J]. 网络与信息安全学报, 2023, 9(3): 28-37. |
[4] | 冯冠云, 付才, 吕建强, 韩兰胜. 基于操作注意力和数据增强的内部威胁检测[J]. 网络与信息安全学报, 2023, 9(3): 102-112. |
[5] | 余锋, 林庆新, 林晖, 汪晓丁. 基于生成对抗网络的隐私增强联邦学习方案[J]. 网络与信息安全学报, 2023, 9(3): 113-122. |
[6] | 朱春陶, 尹承禧, 张博林, 殷琪林, 卢伟. 基于多域时序特征挖掘的伪造人脸检测方法[J]. 网络与信息安全学报, 2023, 9(3): 123-134. |
[7] | 陈晋音, 李荣昌, 黄国瀚, 刘涛, 郑海斌, 程瑶. 纵向联邦学习方法及其隐私和安全综述[J]. 网络与信息安全学报, 2023, 9(2): 1-20. |
[8] | 蔡召, 荆涛, 任爽. 以太坊钓鱼诈骗检测技术综述[J]. 网络与信息安全学报, 2023, 9(2): 21-32. |
[9] | 胡向东, 唐玲玲. 基于轻量级梯度提升机优化的工业互联网入侵检测方法[J]. 网络与信息安全学报, 2023, 9(2): 46-55. |
[10] | 史鑫, 郭云飞, 王亚文, 孙小丽, 梁浩. Tor网桥分发中融合物理-社交属性的女巫节点检测机制[J]. 网络与信息安全学报, 2023, 9(1): 103-114. |
[11] | 潘桐, 陈伟, 吴礼发. 面向不平衡样本的物联网入侵检测方法[J]. 网络与信息安全学报, 2023, 9(1): 130-139. |
[12] | 代龙, 张静, 樊雪峰, 周晓谊. 基于黑盒水印的NLP神经网络版权保护[J]. 网络与信息安全学报, 2023, 9(1): 140-149. |
[13] | 吴文轩, 周文柏, 张卫明, 俞能海. 基于块间光照不一致性的深度伪造检测算法[J]. 网络与信息安全学报, 2023, 9(1): 167-177. |
[14] | 谢绒娜, 马铸鸿, 李宗俞, 田野. 基于卷积神经网络的加密流量分类方法[J]. 网络与信息安全学报, 2022, 8(6): 84-91. |
[15] | 章登勇, 文凰, 李峰, 曹鹏, 向凌云, 杨高波, 丁湘陵. 基于双分支网络的图像修复取证方法[J]. 网络与信息安全学报, 2022, 8(6): 110-122. |
阅读次数 | ||||||
全文 |
|
|||||
摘要 |
|
|||||
|