[論文レビュー] Fast Gradient Attack on Network Embedding
本論文は Fast Gradient Attack(FGA)を提案します。訓練済み GCN の勾配情報を用いてネットワークを撹乱し、さまざまなネットワーク埋め込み手法を攻撃する敵対的ネットワーク生成器で、少数の変更リンクで高い攻撃成功率を達成し、転移性が強い。
Network embedding maps a network into a low-dimensional Euclidean space, and thus facilitate many network analysis tasks, such as node classification, link prediction and community detection etc, by utilizing machine learning methods. In social networks, we may pay special attention to user privacy, and would like to prevent some target nodes from being identified by such network analysis methods in certain cases. Inspired by successful adversarial attack on deep learning models, we propose a framework to generate adversarial networks based on the gradient information in Graph Convolutional Network (GCN). In particular, we extract the gradient of pairwise nodes based on the adversarial network, and select the pair of nodes with maximum absolute gradient to realize the Fast Gradient Attack (FGA) and update the adversarial network. This process is implemented iteratively and terminated until certain condition is satisfied, i.e., the number of modified links reaches certain predefined value. Comprehensive attacks, including unlimited attack, direct attack and indirect attack, are performed on six well-known network embedding methods. The experiments on real-world networks suggest that our proposed FGA behaves better than some baseline methods, i.e., the network embedding can be easily disturbed using FGA by only rewiring few links, achieving state-of-the-art attack performance.
研究の動機と目的
- ネットワーク埋め込みにおけるプライバシーと頑健性の懸念を、埋め込みがいかに簡単に歪められるかを示すことで喚起する。
- GCN の勾配情報を用いて摂動を作成する敵対的ネットワーク生成器を開発する。
- FGA の有効性を GCN 以外の複数の埋め込み手法で実証する。
- GCN 由来の摂動を他のネットワーク埋め込み手法へ転移させる可能性を評価する。
提案手法
- ネットワーク埋め込みとネットワーク埋め込み攻撃フレームワークを定義する。
- 2層の GCN を訓練し、目標損失の勾配を隣接行列に対して計算してリンク勾配ネットワーク(LGN)を形成する。
- 絶対勾配が最大となるノードペアを反復的に選択し、勾配符号に従ってエッジの追加/削除を行い敵対的隣接行列を更新する(アルゴリズム1)。
- K 回の変更で敵対的ネットワークを生成し、対象ノードの損失を最大化して他の埋め込みへ転移性を持つ摂動を作成する。
- GCN のホワイトボックス攻撃(直接、間接、無制限)と GraRep、DeepWalk、node2vec、LINE、GraphGAN のブラックボックス攻撃を評価し、基準手法(RA、DICE、NETTACK)と比較する。
- Pol.Blogs、Cora、Citeseer データセット全体で主指標として ASR(攻撃成功率)と AML(平均変更リンク)を用いる。
実験結果
リサーチクエスチョン
- RQ1GCN ベースの勾配フレームワークは、ターゲットノードの分類を誤らせる敵対的摂動を効果的に生成できるか?
- RQ2FGA によって作成された摂動は GCN 以外の埋め込み手法へ転移するか?
- RQ3摂動サイズ(変更リンク数)と攻撃成功のトレードオフは、データセットと手法によってどうなるか?
- RQ4ASR と AML の点で、FGA は基準攻撃(RA、DICE、NETTACK)と比べてどうか?
- RQ5攻撃タイプ(直接・間接・無制限)が、さまざまなネットワーク構造での有効性にどう影響するか?
主な発見
- FGA は、いくつかの埋め込み手法とデータセットにおいて、基準攻撃よりも一般的に高い攻撃成功率を達成し、変更リンク数を少なくて済む。
- Cora と Citeseer では、無制限の FGA は、ターゲットノードごとに 20 個のリンクを変更するだけでノード分類タスクにおける ASR が 100% となる。
- Direct FGA は、特に Pol.Blogs、Cora、Citeseer データセットで NETTACK および DICE を上回ることが多い。
- ホワイトボックス攻撃(GCN を標的としたもの)は、ブラックボックス攻撃よりやや効果的で、平均して変更リンクが少なくて済む。
- FGA は高い転移性を示し、GCN の勾配フレームワークに由来するにもかかわらず GraRep、DeepWalk、node2vec、LINE、GraphGAN で効果的な攻撃を可能にする。
- FGA の時間計算量は、同等の攻撃範囲において NETTACK より低く、ASR/AML も競争力を維持する。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。