Distributed Backdoor Attacks on Federated Graph Learning and Certified Defenses

本文介绍了一种名为Federated graph learning (FedGL)的新兴联邦学习框架，它扩展了联邦学习以学习来自不同来源的图数据。非图数据的联邦学习已经被证明容易受到后门攻击的影响，后门攻击将共享的后门触发器注入到训练数据中，使得训练后门化的联邦学习模型可以按攻击者的意愿预测包含触发器的测试数据。然而，对于FedGL的后门攻击防御还没有得到很好的探索，也没有有效的防御方法。本文旨在解决这个重大缺陷。首先，我们提出了一种有效、隐蔽且持久的FedGL后门攻击方法。我们的攻击使用子图作为触发器，并设计了一个自适应的触发器生成器，可以为每个图派生出有效的触发器位置和形状。我们的攻击结果表明，经验防御难以检测/去除我们生成的触发器。为了缓解这种情况，我们进一步针对任何带有任何形状和位置触发器的后门FedGL模型开发了一种认证防御方法。我们的防御涉及将测试图分成多个子图，并在这些子图上设计基于多数投票的集成分类器。然后，我们根据集成分类器推导确定性的认证鲁棒性，并证明其紧密性。我们在六个图数据集上对攻击和防御进行了广泛的评估。我们的攻击结果表明，在几乎所有数据集中，我们的攻击可以获得超过90%的后门准确率。我们的防御结果表明，在某些情况下，对于大小为20的任意触发器，对于干净的测试图的认证准确率可以接近没有攻击的正常准确率，而在其他情况下存在适度的差距。此外，我们的认证后门准确率始终为0，这意味着我们的防御可以完全缓解攻击。源代码可在以下网址找到：https://github.com/Yuxin104/Opt-GDBA。

本文旨在解决FedGL在面对后门攻击时的安全性问题，提出了一种有效的后门攻击方法，并开发了一种针对任意形状和位置的后门触发器的认证防御机制。

本文提出了一种基于子图的后门攻击方法，并设计了一个自适应触发器生成器来确定每个图形的有效触发器位置和形状。针对该攻击，本文发展了一种认证的防御机制，该机制通过将测试图划分为多个子图并在这些子图上设计多数投票的集成分类器来减轻攻击。

实验结果表明，本文提出的攻击方法可以在几乎所有数据集中获得> 90％的后门准确性。对于任意形状和位置的后门触发器，本文的认证防御机制可以在某些情况下使干净测试图的认证准确度接近于无攻击的正常准确度，而在其他情况下则存在适度差距。此外，本文的防御机制可以完全消除由攻击生成的后门测试图的认证后门准确度。

最近的相关研究包括使用联邦学习进行图像分类的研究和使用联邦图形学习进行图形分类的研究。