联邦图学习中的非侵入式分布式后门攻击：基于自适应扰动的ni-gdba方法研究

作者及机构
本研究的核心作者包括Ken Li、Bin Shi（通讯作者）、Jiazhe Wei和Bo Dong，均来自西安交通大学计算机科学与技术学院。其中，Bin Shi隶属于教育部智能网络与网络安全重点实验室，Bo Dong同时任职于西安交通大学远程教育学院。该研究发表于2025年的ACM Web Conference (WWW ‘25)，会议地点为澳大利亚悉尼。

学术背景与研究动机
联邦图学习（Federated Graph Learning, FedGL）是一种新兴的联邦学习框架，旨在通过多客户端协作训练图神经网络（Graph Neural Networks, GNNs）模型，同时保护数据隐私。然而，FedGL面临严重的安全威胁，尤其是分布式后门攻击（Distributed Backdoor Attack, DBA）。传统DBA通过在恶意客户端的训练数据中注入触发器（trigger）实现攻击，但存在两大缺陷：一是导致模型在原始任务上的性能下降；二是后门信号易被诚实客户端的干净信号覆盖，攻击成功率低。为此，作者提出非侵入式图分布式后门攻击（ni-gdba），无需修改训练数据即可实现高效、隐蔽且持久的攻击。

研究方法与流程
ni-gdba的核心分为两个阶段：
1. FedGL训练阶段：恶意客户端与诚实客户端共同参与联邦训练，上传基于本地干净数据训练的模型参数。服务器通过标准聚合算法（如FedAvg）更新全局GNN模型。此阶段确保模型在原始任务上的性能不受影响（算法1）。
2. 自然后门学习阶段：每个恶意客户端下载全局GNN模型后，训练一个自适应扰动触发器生成器模型（图2）。该模型通过以下步骤优化：
- 触发器位置学习：基于聚类系数（clustering coefficient）选择图中重要节点（公式4-6），加速收敛。
- 扰动触发器生成：利用图注意力机制（Graph Attention Networks, GAT）编码子图特征和拓扑结构，生成扰动触发器（公式8-9）。生成器通过最小化分类损失（公式7）和同质性损失（公式10）联合优化（公式11）。

实验设计与结果
研究在6个图分类数据集（AIDS、NCI1等）上验证ni-gdba的有效性，对比基线包括Rand-GDBA及其变体（基于ER、WS等随机图模型生成触发器）。关键实验结果如下：
1. 原始任务性能（表2）：ni-gdba的原始任务准确率（OA）与无攻击模型一致（如NCI1上GCN的OA均为0.77），而传统方法平均降低5%-8%。
2. 攻击成功率（ASR）：
- 恶意客户端数量影响（表3）：ni-gdba在恶意客户端数量减少时ASR仅下降0.5%，而其他方法平均下降7%-11%。
- 防御策略鲁棒性（表4-6）：在FoolsGold和FedAvg防御下，ni-gdba的ASR保持97%以上，比基线平均提升60%-64%。
3. 超参数敏感性（图3-4）：触发器节点比例（(n{tri})）和边比例（(e{tri})）对ASR影响有限，表明ni-gdba在低资源下仍有效。

结论与价值
ni-gdba首次实现了无需干扰训练过程的FedGL后门攻击，其科学价值体现在：
1. 方法论创新：利用GNN模型的自然后门特性，通过自适应扰动生成器实现攻击，避免了传统数据注入的弊端。
2. 应用意义：揭示了FedGL在现有防御策略（如FoolsGold）下的脆弱性，呼吁设计针对非侵入式攻击的定制化防御方案。
3. 开源贡献：代码已公开于GitHub（https://github.com/kiyotakali/ni-gdba），推动后续研究。

研究亮点
1. 高隐蔽性：攻击过程不修改训练数据，模型行为在干净输入下无异常。
2. 强持久性：后门信号不易被诚实客户端覆盖，ASR与恶意客户端数量无关。
3. 跨数据集通用性：在分子和生物信息学数据集上均表现优异，ASR超97.5%。

其他发现
- 触发器位置选择的重要性（表7）：基于聚类的算法比随机选择更快收敛，ASR提升显著（如Enzymes数据集上从85%升至93%）。
- 防御策略扩展实验（表8-9）：在FedOpt和FedProx防御下，ni-gdba的ASR仍保持96.4%以上，进一步验证其鲁棒性。

该研究为联邦学习安全领域提供了新的攻击范式，同时为防御机制的设计提出了严峻挑战。