강도 기반의 독성 주입을 통한 의미 기반 통신 시스템에 대한 다형적 백도어 연구

Toward Polymorphic Backdoor against Semantic Communication via Intensity-Based Poisoning

의미 기반 통신(SC) 백도어 공격은 트리거를 사용하여 백도어화된 공유 지식을 통해 시스템이 미리 결정된 출력을 생성하도록 조작하는 것을 목표로 합니다. 현재의 SC 백도어는 단일 공격 대상을 사용하는 단일형 패러다임을 채택하며, 이는 다양한 다운스트림 시나리오에서 공격의 다양성, 효율성 및 유연성이 제한되는 단점이 있습니다. 이러한 제한 사항을 극복하기 위해, 우리는 다형적 SC 백도어인 SemBugger를 제안합니다. SemBugger는 트리거 강도를 동적으로 조정하여 SC 지식에 대한 정밀한 제어를 수행하고, 시스템에서 다양한 악의적인 결과를 생성합니다. 특히, SemBugger는 다중 효과 독성 주입-학습 프레임워크를 통해 구현됩니다. 이 프레임워크는 학습 데이터에 단계별 강도의 트리거를 도입하고, 계층적 악의적 손실을 사용하여 SC 시스템을 최적화합니다. 학습된 시스템의 지식은 입력된 트리거 강도에 따라 동적으로 조정되어 대상 출력을 생성하는 동시에, 정상적인 샘플에 대한 전송 충실도를 유지합니다. 또한, SC 보안을 강화하기 위해, 우리는 SemBugger의 균일 공격을 방어하는 검증 가능한 견고성 방어 메커니즘을 제안합니다. 이 방어 메커니즘은 SC 입력에 전략적으로 노이즈를 추가하여 작동하며, 방어 효과에 대한 이론적인 하한을 공식적으로 제공합니다. 다양한 SC 모델과 벤치마크 데이터 세트에 대한 실험 결과, SemBugger는 높은 공격 효율성을 달성하는 동시에 SC 시스템의 정상적인 기능을 유지하는 것으로 나타났습니다. 동시에, 설계된 방어 메커니즘은 SemBugger 공격을 효과적으로 무력화합니다.

Semantic Communication (SC) backdoor attacks aim to utilize triggers to manipulate the system into producing predetermined outputs via backdoored shared knowledge. Current SC backdoors adopt monomorphic paradigms with single attack target, which suffers from limited attack diversity, efficiency, and flexibility in heterogeneous downstream scenarios. To overcome the limitations, we propose SemBugger, a polymorphic SC backdoor. By dynamically adjusting the trigger intensity, SemBugger finely-grained controls over the SC knowledge to generate diverse malicious results from the system. Specifically, SemBugger is realized through a multi-effect poisoning-training framework. It introduces graded-intensity triggers to poison training data and optimizes SC systems with hierarchical malicious loss. The trained system's knowledge dynamically adapts to trigger intensity in inputs to yield target outputs, all while preserving transmission fidelity for benign samples. Moreover, to augment SC security, we propose a provable robustness defense that resists SemBugger's homogeneous attacks through a controlled noise mechanism. It operates via strategically adding noise in SC inputs, and we formally provide a theoretical lower bound on the defense efficacy. Experiments across diverse SC models and benchmark datasets indicate that SemBugger attains high attack efficacy while maintaining the regular functionality of SC systems. Meanwhile, the designed defense effectively neutralizes SemBugger attacks.