연합 학습에서의 구조 인식 기반 분산 백도어 공격

Structure-Aware Distributed Backdoor Attacks in Federated Learning

연합 학습은 데이터 프라이버시를 보호하지만, 동시에 모델 업데이트 과정이 장기간에 걸친 은밀한 변화에 취약해질 수 있습니다. 연합 학습에서의 백도어 공격에 대한 기존 연구는 주로 트리거 설계 또는 오염 전략에 초점을 맞추며, 일반적으로 동일한 변화가 서로 다른 모델 구조에서 유사하게 동작한다고 가정합니다. 이러한 가정은 모델 구조가 변화의 효과에 미치는 영향을 간과합니다. 본 논문에서는 구조 인식 관점에서 모델 구조와 백도어 변화 간의 상관 관계를 분석합니다. 모델의 변화에 대한 민감도와 프랙탈 변화 선호도를 측정하기 위해 Structural Responsiveness Score (SRS)와 Structural Compatibility Coefficient (SCC)라는 두 가지 지표를 도입했습니다. 이러한 지표를 기반으로, 모델 구조의 특성이 백도어 주입 과정에 미치는 영향을 연구하기 위한 구조 인식 기반 프랙탈 변화 주입 프레임워크 (TFI)를 개발했습니다. 실험 결과, 모델 구조가 변화의 전파 및 집계에 상당한 영향을 미치는 것으로 나타났습니다. 다중 경로 특징 융합을 사용하는 네트워크는 낮은 오염 비율에서도 프랙탈 변화를 증폭시키고 유지하는 반면, 낮은 구조적 호환성을 가진 모델은 이러한 효과를 제한합니다. 추가 분석 결과, SCC와 공격 성공률 사이에 강한 상관 관계가 있는 것으로 나타났으며, 이는 SCC가 변화의 생존 가능성을 예측할 수 있음을 시사합니다. 이러한 결과는 연합 학습에서의 백도어 동작이 변화 설계 또는 오염 강도뿐만 아니라 모델 구조와 집계 메커니즘 간의 상호 작용에 따라 달라지며, 구조 인식 기반 방어 설계에 대한 새로운 통찰력을 제공한다는 것을 강조합니다.

While federated learning protects data privacy, it also makes the model update process vulnerable to long-term stealthy perturbations. Existing studies on backdoor attacks in federated learning mainly focus on trigger design or poisoning strategies, typically assuming that identical perturbations behave similarly across different model architectures. This assumption overlooks the impact of model structure on perturbation effectiveness. From a structure-aware perspective, this paper analyzes the coupling relationship between model architectures and backdoor perturbations. We introduce two metrics, Structural Responsiveness Score (SRS) and Structural Compatibility Coefficient (SCC), to measure a model's sensitivity to perturbations and its preference for fractal perturbations. Based on these metrics, we develop a structure-aware fractal perturbation injection framework (TFI) to study the role of architectural properties in the backdoor injection process. Experimental results show that model architecture significantly influences the propagation and aggregation of perturbations. Networks with multi-path feature fusion can amplify and retain fractal perturbations even under low poisoning ratios, while models with low structural compatibility constrain their effectiveness. Further analysis reveals a strong correlation between SCC and attack success rate, suggesting that SCC can predict perturbation survivability. These findings highlight that backdoor behaviors in federated learning depend not only on perturbation design or poisoning intensity but also on the interaction between model architecture and aggregation mechanisms, offering new insights for structure-aware defense design.