보이지 않는 범용 백도어 공격: 그래프 신경망 기반 클래스별 트리거 설계

초록

IU는 그래프 컨볼루션 네트워크(GCN)를 활용해 클래스 간 유사성을 모델링하고, 각 목표 클래스에 대해 시각적으로 눈에 띄지 않는 맞춤형 트리거를 생성한다. 이중 목적 손실(은폐성 + 공격 성공률)로 최적화하여 ImageNet‑1K에서 0.16% 수준의 낮은 중독률에도 91.3%의 높은 ASR을 달성하고, 기존 백도어 방어 기법들을 회피한다.

상세 분석

본 논문은 기존 범용 백도어(UB A) 연구가 시각적으로 뚜렷한 패턴에 의존해 탐지 위험이 높다는 한계를 정확히 지적한다. 이를 극복하기 위해 저자들은 두 가지 핵심 아이디어를 제시한다. 첫째, 클래스 간 의미적·특징적 유사성을 그래프 형태로 정량화하고, GCN을 통해 이 구조적 정보를 전파한다. 각 노드는 클래스의 이진 잠재 코드(길이 n)이며, ℓ₁ 거리 기반 가중치 함수를 이용해 유사한 클래스 사이에 강한 연결을 만든다. GCN은 이러한 그래프를 입력으로 받아 클래스별 트리거 텐서를 출력함으로써, 유사 클래스가 공유하는 “감도 높은 방향”을 자동으로 학습한다. 둘째, 은폐성 및 공격 효율성을 동시에 고려한 이중 목적 손실을 설계한다. 은폐성 손실 L_stealth은 PSNR이 사전 정의된 임계값 p 이하가 되면 패널티를 부여해 시각적 변형을 최소화하고, 공격 손실 L_attack은 사전 학습된 깨끗한 모델 f_pretrain에 대한 교차 엔트로피를 통해 목표 클래스로의 오분류를 강제한다. 두 손실은 가중치 β로 조절되는 선형 결합 L_total으로 최적화된다. 이 과정에서 트리거는 작은 ℓ₂ norm을 유지하면서도 피처 공간에서 높은 민감도 방향(Jacobian)과 정렬되도록 학습된다. 이론적 분석에서는 트리거가 유도하는 평균 피처 이동 벡터 v_y와 클래스 가중치 차이 (w_y − w_k)ᵀv_y 를 통해 로그잇 차이 Δ_y,k 를 정의하고, Δ_y,k > 0가 다수일 경우 높은 ASR을 보장함을 증명한다. 또한, GCN이 클래스 간 v_y 방향을 정렬시켜 분산을 감소시키는 역할을 수식적으로 설명하고, 이를 정량화한 Trigger Separability Index(TSI)를 제안한다. 실험 결과 TSI와 ASR 사이에 강한 양의 상관관계가 있음을 확인함으로써 이론과 실험을 일관되게 연결한다. 전반적으로 IU는 (1) 그래프 기반 구조적 정보 활용, (2) 시각적 은폐성을 명시적 제약, (3) 공격 성공률을 정량화한 손실 설계라는 세 축을 결합해, 기존 UB A가 직면한 “시각적 노출”과 “높은 중독률” 문제를 동시에 해결한다.