寻找后门攻击最有效的网络层。现有的 FL 攻击和防御方法通常关注整个模型。 他们都没有认识到后门关键（BC）层的存在——控制模型漏洞的一小部分层。 攻击 BC 层可达到与攻击整个模型相同的效果，但被最先进 (SOTA) 防御检测到的机会要小得多。
方法很简单，文章重复的地方比较多。

为了证明 BC 层的存在，作者首先在干净的数据集上训练一个良性的五层 CNN 模型，直到它收敛。 然后在中毒数据（嵌入触发器）上训练良性模型的副本并获得恶意模型。 作者将良性模型中的每一层替换为恶意模型中的同一层，并测量后门攻击成功率，这表示识别嵌入触发器作为目标标签的样本的准确性。本文提出了层替换分析，这是一种使用前向和后向层替换来识别 BC 层的通用原位方法。进一步设计了两种新的后门攻击方法：分层中毒攻击和分层翻转攻击。

具体方式：

1. 首先训练得到一个良性模型，然后在这个良性模型上训练后门数据，得到带有后门的模型。
2. 使用良性模型替换后门模型的每一层，计算每一层替换后后门准确率的损失。
3. 然后将损失从大到小排序，在良性模型中，依次替换损失最大的层，知道后门准确率到达阈值。

已识别的 BC 层提供了一个新的视角，可以对 FL 进行更精确、更隐蔽的后门攻击。 本节介绍两种具有后门关键层意识的攻击方法：同时攻击基于距离和基于反转的防御方法的分层中毒（LP）攻击和攻击基于符号的防御方法的分层翻转（LF）攻击 。

LP攻击：模拟聚类筛选的过程，如果被筛除，就减少加入的层数，并且引入加权项，不是完全替换，而是加权替换。
LF攻击：
翻转符号。