Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Understanding and Improving Graph Injection Attack by Promoting Unnoticeability

Yongqiang Chen, Han Yang|arXiv (Cornell University)|Feb 16, 2022
Adversarial Robustness in Machine Learning被引用数 26
ひとこと要約

本論文は Graph Injection Attack (GIA) を分析し、防御がない場合には Graph Modification Attacks (GMA) よりも被害が大きいことを示し、同質性を気づかれずに保つための Harmonious Adversarial Objective (HAO) を提案して、同質性を維持しつつ効果的な GIA 攻撃を可能にし、同質性ベースの防御に対してもより強力な攻撃を実現する。

ABSTRACT

Recently Graph Injection Attack (GIA) emerges as a practical attack scenario on Graph Neural Networks (GNNs), where the adversary can merely inject few malicious nodes instead of modifying existing nodes or edges, i.e., Graph Modification Attack (GMA). Although GIA has achieved promising results, little is known about why it is successful and whether there is any pitfall behind the success. To understand the power of GIA, we compare it with GMA and find that GIA can be provably more harmful than GMA due to its relatively high flexibility. However, the high flexibility will also lead to great damage to the homophily distribution of the original graph, i.e., similarity among neighbors. Consequently, the threats of GIA can be easily alleviated or even prevented by homophily-based defenses designed to recover the original homophily. To mitigate the issue, we introduce a novel constraint -- homophily unnoticeability that enforces GIA to preserve the homophily, and propose Harmonious Adversarial Objective (HAO) to instantiate it. Extensive experiments verify that GIA with HAO can break homophily-based defenses and outperform previous GIA attacks by a significant margin. We believe our methods can serve for a more reliable evaluation of the robustness of GNNs.

研究の動機と目的

  • 統一された設定の下で GIA と GMA を比較し、相対的な被害度を評価する。
  • GIA の柔軟性がグラフの同質性をどのように損なうかを特定し、攻撃を可能にする。
  • GIA 実行時に同質性を維持するための制約と目的関数(HAO)を導入する。
  • HAO を用いた GIA が同質性ベースの防御を打ち破り、既存の攻撃よりも優れていることを示す。
  • 同質性制約の下で GIA を最適化する適応的投入戦略を提供する。

提案手法

  • 統一された回避・帰納・ブラックボックス設定の下でグラフ敵対的攻撃を形式化する。
  • GIA および GMA の摂動を特徴づけ、それらの有効性を比較する理論結果を証明する。
  • 同質性が気づかれないこと(homophily unnoticeability)と Harmonious Adversarial Objective (HAO) を導入して摂動を制約する。
  • 実務で HAO を実装するための適応的投入戦略(勾配主導、ヒューリスティック主導、逐次的)を開発する。
  • 攻撃力を分析するために GMA の摂動を複数対応写像により GIAへ写像する(定理 1)。
  • 複数のデータセットと防御モデルに対する実証的検証を提供する。

実験結果

リサーチクエスチョン

  • RQ1防御なしの下で、どの条件で GIA が理論的に GMA より有害であると証明できるか。
  • RQ2同質性の損傷が同質性ベースの防御者に対する GIA の堅牢性にどのように影響するか。
  • RQ3ソフトな同質性制約(HAO)により GIA が防御を回避しつつ攻撃効果を維持できるか。
  • RQ4HAO を用いたときに適応的投入戦略は GIA の性能を向上させるか。

主な発見

  • 防御がない場合、等価な予算でも GIA は GMA より有害となり得る(定理 1)。
  • GIA は同質性に深刻な損害を与える傾向があり、同質性ベースの防御によって防がれやすくしてしまう(定理 2)。
  • HAO を介して同質性が気づかれない状態を導入することで、同質性を維持しつつ有効な攻撃を可能にする(定理 3)。
  • HAO 有効な GIA は、データセットと防御に跨って非標的攻撃の性能を大幅に向上させる(場合によっては約30%の改善)。
  • HAO を用いた標的型攻撃は、大規模グラフや複数のデータセットでも顕著な改善を示す。
  • 適応的投入戦略(勾配主導・ヒューリスティック主導・逐次的)は、HAO の下で攻撃の効果を高める。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。