Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Adversarial Attack on Graph Structured Data

Hanjun Dai, Hui Li|arXiv (Cornell University)|2018. 06. 06.
Adversarial Robustness in Machine Learning참고 문헌 22인용 수 169
한 줄 요약

이 논문은 그래프 구조를 수정하여 그래프 신경망(GNN)에 대한 적대적 공격을 연구하고, 강화학습 기반 공격(RL-S2V)과 여러 화이트박스/블랙박스 변형을 제안하며, 그래프 수준 및 노드 수준 작업에서 취약성을 평가하고 방어 전략을 제시한다.

ABSTRACT

Deep learning on graph structures has shown exciting results in various applications. However, few attentions have been paid to the robustness of such models, in contrast to numerous research work for image or text adversarial attack and defense. In this paper, we focus on the adversarial attacks that fool the model by modifying the combinatorial structure of data. We first propose a reinforcement learning based attack method that learns the generalizable attack policy, while only requiring prediction labels from the target classifier. Also, variants of genetic algorithms and gradient methods are presented in the scenario where prediction confidence or gradients are available. We use both synthetic and real-world data to show that, a family of Graph Neural Network models are vulnerable to these attacks, in both graph-level and node-level classification tasks. We also show such attacks can be used to diagnose the learned classifiers.

연구 동기 및 목표

  • 그래프 신경망(GNN)이 그래프 구조의 적대적 수정에 취약하다는 것을 입증한다.
  • 타깃 모델의 예측 라벨만 필요로 하는 일반화 가능한 강화 학습 기반 공격 정책을 개발한다.
  • 타깃 분류기 접근 수준에 따라 추가적인 공격 방법을 제공한다(화이트박스와 블랙박스 변형).
  • 합성 그래프 분류 태스크와 실제 노드 분류 데이터셋에서 공격 효능을 평가하고 방어 전략을 탐구한다.

제안 방법

  • 추가/삭제 엣지를 통해 그래프 적대적 공격을 유한-시간 MDP로 형식화한다.
  • 구조2벡(Structure2Vec, S2V) 노드 임베딩으로 Q-함수를 매개변수화하는 계층적 Q-러닝(RL-S2V)을 도입한다.
  • 2단계 액션 분해를 제공하여 이차 엣지-액션 공간을 선형 복잡도로 축소한다.
  • 추가 공격 방법을 제공한다: RandSampling (random), GradArgmax (gradient-based white-box), 그리고 GeneticAlg (genetic algorithm for black-box).
  • 모형 등가 제약 I(G, G~, c)을 모델링하여 수정이 미리 정의된 의미론적 또는 이웃 범위 내에 남도록 한다.

실험 결과

연구 질문

  • RQ1그래프의 노드 특징을 바꾸지 않고도 그래프에 대한 구조만의 작은 수정으로 GNN을 신뢰성 있게 속일 수 있는가?
  • RQ2공격자가 미지의 그래프에 대해서도 작동하고 제한된 분류기 정보를 가진 상태에서 그래프 수정을 위한 전달 가능한(transferable) 정책을 어떻게 학습할 수 있는가?
  • RQ3그래프 구조 데이터에 대한 화이트박스, 실용적 블랙박스, 제한된 블랙박스 시나리오에서 효과적인 공격 전략은 무엇인가?

주요 결과

  • 그래프 신경망은 그래프 수준 및 노드 수준 작업에서 적대적 구조 수정에 취약하다.
  • RL-S2V는 제한된 정보 설정 하에서 미지의 그래프에 일반화되는 전달 가능한 공격 정책을 학습할 수 있다.
  • 그라디언트 기반 및 유전 알고리즘 접근 방식은 각각 화이트박스 및 실용적 블랙박스 설정에서 경쟁력 있는 공격 능력을 제공한다.
  • 적대적 학습(엣지 드롭링)을 통한 방어 전략이 견고성을 향상시킬 수 있지만 취약성을 제거하지는 못한다.
  • 공격은 GNN의 다양한 그래프 크기와 전파 깊이에서도 효과적이다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.