숨고 찾기: 연합 그래프 학습에 대한 분산적 적대적 공격

Hide and Find: A Distributed Adversarial Attack on Federated Graph Learning

연합 그래프 학습(FedGL)은 악의적인 공격에 취약하지만, 진정으로 효과적이고 은밀한 공격 방법을 개발하는 것은 여전히 중요한 과제입니다. 기존 공격 방법은 낮은 공격 성공률, 높은 계산 비용을 가지며, 방어 알고리즘에 의해 쉽게 탐지되고 완화됩니다. 이러한 문제점을 해결하기 위해, 우리는 새로운 두 단계의 "숨고 찾기" 분산적 적대적 공격 방법인 **FedShift**를 제안합니다. 첫 번째 단계에서는 FedGL이 시작되기 전에, 학습 데이터의 일부에 학습 가능한 "시프터(shifter)"를 삽입합니다. 이 시프터는 학습 과정 동안 공격의 은밀성을 보장하면서, 독성 그래프 표현을 목표 클래스의 결정 경계 방향으로 미묘하게 이동시키지만, 경계를 넘어서지 않도록 설계되었습니다. 두 번째 단계에서는 FedGL이 완료된 후, 글로벌 모델 정보를 활용하고 숨겨진 시프터를 최적화의 시작점으로 사용하여 효율적으로 적대적 왜곡을 찾습니다. 최종 공격 단계에서는 여러 악의적인 클라이언트로부터 수집된 이러한 왜곡을 결합하여 최종적인 효과적인 적대적 샘플을 생성하고 공격을 실행합니다. 6개의 대규모 데이터셋에 대한 광범위한 실험 결과, 제안하는 방법이 기존의 최첨단 공격 방법에 비해 가장 높은 공격 효과를 달성하는 것으로 나타났습니다. 특히, 우리의 공격은 3가지 주요한 견고한 연합 학습 방어 알고리즘을 효과적으로 회피하며, 90% 이상의 시간 비용 감소를 통해 탁월한 은밀성, 견고성 및 효율성을 보여줍니다.

Federated Graph Learning (FedGL) is vulnerable to malicious attacks, yet developing a truly effective and stealthy attack method remains a significant challenge. Existing attack methods suffer from low attack success rates, high computational costs, and are easily identified and smoothed by defense algorithms. To address these challenges, we propose \textbf{FedShift}, a novel two-stage "Hide and Find" distributed adversarial attack. In the first stage, before FedGL begins, we inject a learnable and hidden "shifter" into part of the training data, which subtly pushes poisoned graph representations toward a target class's decision boundary without crossing it, ensuring attack stealthiness during training. In the second stage, after FedGL is complete, we leverage the global model information and use the hidden shifter as an optimization starting point to efficiently find the adversarial perturbations. During the final attack, we aggregate these perturbations from multiple malicious clients to form the final effective adversarial sample and trigger the attack. Extensive experiments on six large-scale datasets demonstrate that our method achieves the highest attack effectiveness compared to existing advanced attack methods. In particular, our attack can effectively evade 3 mainstream robust federated learning defense algorithms and converges with a time cost reduction of over 90\%, highlighting its exceptional stealthiness, robustness, and efficiency.