Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Adversarial Attack on Graph Structured Data

Hanjun Dai, Hui Li|arXiv (Cornell University)|Jun 6, 2018
Adversarial Robustness in Machine Learning参考文献 22被引用数 169
ひとこと要約

この論文は、グラフ構造を変更することによるグラフニューラルネットワーク(GNN)への敵対的攻撃を研究し、強化学習ベースの攻撃(RL-S2V)といくつかのホワイトボックス/ブラックボックス varianteを提案し、防御の洞察とともにグラフレベルおよびノードレベルのタスクで脆弱性を評価する。

ABSTRACT

Deep learning on graph structures has shown exciting results in various applications. However, few attentions have been paid to the robustness of such models, in contrast to numerous research work for image or text adversarial attack and defense. In this paper, we focus on the adversarial attacks that fool the model by modifying the combinatorial structure of data. We first propose a reinforcement learning based attack method that learns the generalizable attack policy, while only requiring prediction labels from the target classifier. Also, variants of genetic algorithms and gradient methods are presented in the scenario where prediction confidence or gradients are available. We use both synthetic and real-world data to show that, a family of Graph Neural Network models are vulnerable to these attacks, in both graph-level and node-level classification tasks. We also show such attacks can be used to diagnose the learned classifiers.

研究の動機と目的

  • グラフニューラルネットワーク(GNN)がグラフ構造の敵対的変更に対して脆弱であることを示す。
  • ターゲットモデルの予測ラベルのみを必要とする一般化可能な攻撃ポリシーを強化学習を用いて開発する。
  • ターゲット分類器へのアクセスレベルが異なる追加の攻撃手法を提供する(ホワイトボックスおよびブラックボックスのバリアント)。
  • 合成グラフ分類タスクと実世界のノード分類データセットに対する攻撃有効性を評価し、防御戦略を検討する。

提案手法

  • グラフに対する敵対的攻撃を、エッジを追加または削除する行動を含む有限ホライズンMDPとして定式化する。
  • 構造2ベクトル(S2V)ノード埋め込みを用いてQ関数をパラメータ化する階層的Q学習(RL-S2V)を導入する。
  • エッジアクション空間の二次の計算を、二段階のアクション分解で線形複雑さに低減する。
  • 追加の攻撃手法を提供する:RandSampling(ランダム)、GradArgmax(勾配ベースのホワイトボックス)、GeneticAlg(ブラックボックス用の遺伝的アルゴリズム)。
  • 修正が事前に定義された意味的範囲または近傍スコープ内にとどまるよう、モデル同値性制約 I(G, G~, c) を導入する。

実験結果

リサーチクエスチョン

  • RQ1ノード特徴を変更せず、グラフ構造のみの小さな変更によってGNNを信頼性高く騙せるのか?
  • RQ2未知のグラフや限定的な分類器情報に対しても機能する、グラフ変更の転移可能なポリシーを攻撃者はどう学習できるか?
  • RQ3グラフ構造データに対する、異なる情報アクセスシナリオ(ホワイトボックス、実用的なブラックボックス、制限付きブラックボックス)で効果的な攻撃戦略は何か?

主な発見

  • グラフニューラルネットワークは、グラフレベルとノードレベルのタスクの両方で、敵対的な構造変更に対して脆弱である。
  • RL-S2Vは、制限された情報設定の下で未知のグラフに一般化する転移可能な攻撃ポリシーを学習できる。
  • 勾配ベースおよび遺伝的アルゴリズムアプローチは、それぞれホワイトボックスおよび実用的なブラックボックス設定で競争力のある攻撃能力を提供する。
  • 対敵訓練(エッジドロップ等)を用いた防御戦略は頑健性を向上させるが、脆弱性を完全には排除できない。
  • 攻撃はグラフサイズや伝搬深さの異なる場合でも、GNNsに対して有効であり続ける。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。