FedBAP：通过良性对抗扰动实现联邦学习后门防御

联邦学习（FL）支持协同模型训练并保护数据隐私，但极易受到后门攻击。现有防御方法因忽视模型对后门触发器的过度依赖而效果有限，尤其在恶意客户端比例增加时。

本文提出FedBAP新型防御框架，通过降低模型对后门触发器的依赖来缓解攻击。具体包含三个核心机制：

1. 扰动触发器生成机制：创建与后门触发器位置和尺寸精确匹配的扰动触发器，确保对模型输出的强影响力
2. 良性对抗扰动生成：利用扰动触发器生成良性对抗扰动，破坏模型对后门触发器的依赖，同时迫使模型学习更鲁棒的决策边界
3. 自适应缩放机制：动态调整扰动强度，有效平衡防御强度与模型性能

实验结果表明，FedBAP在三类后门攻击下分别降低攻击成功率0.22%-5.34%、0.48%-6.34%和97.22%-97.6%，特别针对新型后门攻击表现出卓越性能。

本文已被ACM Multimedia 2025接收