联邦学习安全与隐私在现实场景中受数据异构性的影响很大，为了研究隐私推断攻击、后门攻击与数据异构性的相互作用机理，提出一种基于隐私推断的高隐蔽后门攻击方案。首先基于生成对抗网络进行客户端的多样化数据重建，生成用于改善攻击者本地数据分布的补充数据集；在此基础上，实现一种源类别定向的后门攻击策略，不仅允许使用隐蔽触发器控制后门是否生效，还允许攻击者任意指定后门针对的源类别数据。基于MNIST、CIFAR 10和YouTube Aligned Face三个公开数据集的仿真实验表明，所提方案在数据非独立同分布的联邦学习场景下有着较高的攻击成功率和隐蔽性。

• 单位
  上海交通大学