联邦学习（FL）是一种新兴的分布式机器学习范式，它允许多方在不共享原始数据的情况下协作训练高质量的全局模型。它有效地解决了数据孤岛和隐私保护之间的冲突，实现了无需数据共享的知识共享。目前，FL被广泛应用于构建去中心化应用系统，例如基于区块链的疫苗供应链管理、智能环境中的无人机协作计算以及保护隐私的智能手机推荐系统[1]、[2]、[3]。尽管FL在推进安全、保护隐私的分布式应用方面具有显著优势，但其分布式架构使其面临严重的安全威胁，其中后门攻击尤为突出。在这种攻击模式下，恶意客户端将精心设计的隐蔽触发器（如特定像素模式）植入本地训练数据中，诱导全局模型学习到隐藏的关联。攻击者的核心目标不是破坏整体模型性能，而是建立一个隐蔽的“契约”——使模型对携带触发器的输入样本产生有针对性的误分类（例如，将带有特定条纹的停车标志误识别为限速标志）。由于这类攻击在正常数据上表现良好，只有在遇到特定触发器模式时才会暴露错误，因此它们的隐蔽性极高。这使它们成为FL系统中最重要的安全威胁之一，对安全构成重大风险[4]。

因此，探索新的后门攻击和防御方法对于确保联邦学习系统的安全性至关重要。一方面，深入研究后门攻击技术有助于揭示它们的潜在威胁，为设计有效的防御机制提供理论基础。另一方面，开发创新的防御方法可以提高联邦学习系统的鲁棒性，保护模型安全。

近年来，提高攻击隐蔽性已成为后门攻击研究的核心目标。Xie等人[5]提出了分布式后门攻击（DBA）方法，其核心在于通过每个恶意客户端植入本地触发器来实现隐蔽性。更重要的是，这些本地触发器的组合——全局触发器——在全局模型上的攻击性能明显优于集中式攻击。Nguyen等人[6]探索了使用对抗性扰动生成隐蔽触发器的方法。在此基础上，Li等人[7]进一步提出了一种双域后门攻击，通过操纵幅度谱的低频成分并引入微妙的失真场来构建高度隐蔽的触发器。

尽管上述研究显著提高了攻击的隐蔽性和实用性，但触发器的固有单一性——包括固定位置和统一形状——仍然是一个关键弱点，使得它们容易被检测和消除（例如，Wang等人[8]提出的基于逆向工程的防御方法）。为了解决这个问题，本文提出了一种创新的动态触发器后门攻击方案。其核心“动态”特性体现在两个方面：首先，触发器的嵌入位置不是固定的，而是根据输入图像内容使用注意力U-Net[9]、[10]、[11]、[12]动态生成的。其次，触发器本身的具体形式也不是预先定义的，而是根据输入图像使用深度卷积GAN（DCGAN）[13]动态生成的。这种双重动态机制有效地确保了触发器模式的高多样性。它不仅显著提高了攻击的隐蔽性，使得检测和防御更加困难，还通过图像自适应触发器生成策略提高了对各种防御措施的抵抗力。

同时，FL中的后门防御研究主要集中在基于相似性分析的检测方法[14]、[15]、[16]、[17]、[18]上。这些方法的核心在于区分良性更新和恶意更新。虽然对某些后门攻击有效，但高度隐蔽的后门攻击可以被精心设计，使得提交的模型更新看起来“类似于”良性更新。这使得对抗高度隐蔽的后门攻击方法变得困难，导致防御机制无法可靠地区分良性更新和恶意更新，从而大大降低了检测准确性。这表现为高误分类率：良性客户端可能被误认为是恶意客户端，恶意客户端也可能被误认为是良性客户端。更严重的是，所有检测方法都有一个固有的缺陷：它们需要服务器端部署，其有效性严格依赖于中央服务器的完全可信度。鉴于基于相似性的防御方法的局限性（高误分类率、依赖可信服务器），一个关键问题出现了：

为了解决这一挑战，本文提出了一种结合对抗性训练和快速傅里叶变换（FedFAT）的客户端防御方法。这种方法不是依赖服务器端的被动检测，而是在客户端部署本地训练的防御机制（假设超过50%的客户端是良性的）。通过操纵本地数据或本地模型的训练过程，它生成了可靠的干净模型，从而消除了对可信服务器的依赖。具体来说，在FL训练阶段，FedFAT采用对抗性训练机制。它通过在良性客户端的数据中嵌入动态触发器来构建对抗性样本，而不改变它们的原始标签。这些样本参与模型更新，训练模型忽略潜在的后门触发器模式，从而实现对恶意干扰的不敏感。然而，尽管对抗性训练在客户端层面提供了保护，但每轮FL中参与客户端的随机选择仍可能导致恶意客户端超过50%。这显著增加了该轮次中聚合全局模型的后门攻击成功率。为了克服这一限制，我们在模型推理阶段引入了一种新颖且有效的图像预处理方法：使用快速傅里叶变换将图像从空间域转换为频率域。这种方法在模型分类之前有效去除了图像中的触发器，从而降低了后门攻击的成功率。广泛的实验验证表明，这种防御方法不仅有效对抗了现有的后门攻击（如DBA和CerP），还对本文提出的新型动态触发器后门攻击表现出强烈的抑制效果。实验结果表明，在对抗非自适应后门攻击时，该方法可以将后门攻击的成功率降低到6%以下，同时对主要任务的成功率影响最小。

总体而言，我们的贡献总结如下：