Será defendida no dia 14 de maio de 2026, às 16:00 horas, por videoconferência, a Dissertação de Mestrado intitulada “Backdoor Injection Analysis and Heuristic Auditing of LightGBM Models”, do candidato ao título de Mestre em Computação – Rômulo Carlos Almeida da Silva.
Link para defesa: meet.google.com/mno-znrj-niy
Resumo:
Esta dissertação investiga a injeção de backdoors em tempo de treinamento em modelos Light Gradient Boosting Machine (LightGBM) baseados em árvores aplicados a dados tabulares, um cenário ainda pouco explorado na literatura. O estudo considera dois conjuntos de dados complementares: um conjunto de monitoramento de rede rotulado pelo Suricata, derivado de um backbone de produção de pesquisa e educação, e o benchmark público Covertype. Nesses contextos, analisamos a viabilidade do envenenamento de modelos LightGBM sob diferentes taxas de envenenamento, composições de gatilho, tipos de atributos e prevalência da classe-alvo.
Os resultados mostram que a injeção de backdoors nessa família de modelos pode ser eficaz com taxas de envenenamento de até 0.005\%, muito abaixo dos 1\% comumente adotados em trabalhos semelhantes. Mostram também que a efetividade do ataque depende do suporte empírico e do tamanho do domínio do atributo, da cardinalidade do gatilho e da prevalência da classe-alvo.
Como complemento, a dissertação propõe uma metodologia white-box de auditoria sensível a orçamento para a inspeção de backdoors em ensembles de árvores de decisão. O método baseia-se em intervalos induzidos por divisões extraídos do modelo e utiliza um conjunto de dados limpo de referência para sondagem. Duas heurísticas são desenvolvidas para ranquear intervalos candidatos de gatilho: \emph{expected logits}, que estima o quanto um intervalo favorece o ensemble em direção a uma classe, e \emph{pre-leaf intervals}, que explora evidências de classe concentradas em divisões adjacentes às folhas. Os resultados mostram que \emph{expected logits} se aplica a atributos numéricos e categóricos e apresenta melhor desempenho para classes-alvo de alta prevalência, enquanto \emph{pre-leaf intervals}, restrita a atributos numéricos, é mais eficaz para classes-alvo de baixa prevalência. Em conjunto, essas contribuições demonstram a viabilidade de ataques por backdoor contra modelos LightGBM em dados tabulares e o potencial de estratégias de auditoria adaptadas a arquiteturas baseadas em árvores.
Abstract:
This dissertation investigates training-time backdoor injection in tree-based Light Gradient Boosting Machine (LightGBM) models trained on tabular data, a setting that remains underexplored in the backdoor literature. The study uses two datasets with complementary roles: a security-relevant Suricata-labeled network-monitoring dataset derived from a production research-and-education backbone, and the public Covertype benchmark. Across these settings, the dissertation evaluates the feasibility of poisoning LightGBM models and characterizes attack behavior across a range of experimental conditions.
The results show that backdoor injection is effective in this model family at substantially lower poison ratios than the 1\% commonly adopted in prior work, with some attacks remaining effective at ratios as low as 0.005\%. They further indicate that attack success is shaped by properties of the trigger and data distribution, rather than by poison ratio alone.
To complement this analysis, the dissertation proposes a budget-aware white-box auditing methodology for backdoor inspection in decision-tree ensembles. The method relies on split-induced intervals extracted from the model and uses a clean reference dataset for probing. Two heuristics are developed to rank candidate trigger intervals: \emph{expected logits}, which estimates how strongly an interval biases the ensemble toward a class, and \emph{pre-leaf intervals}, which exploits class evidence concentrated near leaf-adjacent splits. The results show that expected logits applies to both numerical and categorical features and performs especially well for high-prevalence target classes, whereas pre-leaf intervals, restricted to numerical features, is most effective for low-prevalence target classes. Together, these contributions demonstrate both the practical feasibility of backdoor attacks against LightGBM models on tabular data and the potential of budget-aware auditing strategies tailored to tree-based architectures.
Banca examinadora:
Prof. Antonio Augusto de Aragão Rocha, UFF
Prof. Igor Monteiro Moraes, UFF
Prof. Magnos Martinello, UFES
Graduado em Ciências Atuariais pela Universidade Federal Fluminense (UFF) e mestrando em Computação.Palestrante e Professor de Inteligência Artificial e Linguagem de Programação; autor de livros, artigos e aplicativos.Professor do Grupo de Trabalho em Inteligência Artificial da UFF (GT-IA/UFF) e do Laboratório de Inovação, Tecnologia e Sustentabilidade (LITS/UFF), entre outros projetos.
Proprietário dos portais:🔹 ia.pro.br🔹 ia.bio.br🔹 ec.ia.br🔹 iappz.com🔹 maiquelgomes.com🔹 ai.tec.reentre outros.
💫 Apaixonado pela vida, pelas amizades, pelas viagens, pelos sorrisos, pela praia, pelas baladas, pela natureza, pelo jazz e pela tecnologia.
