Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Adversarial Examples on Graph Data: Deep Insights into Attack and Defense

Huijun Wu, Chen Wang|arXiv (Cornell University)|2019. 03. 05.
Adversarial Robustness in Machine Learning참고 문헌 24인용 수 105
한 줄 요약

이 논문은 그래프 컨볼루션 네트워크에 대한 integrated-gradients guided 공격과 서로 다른 노드를 연결하는 간선을 제거하는 경량 전처리 방어를 제안하여 그래프 데이터에 대한 적대적 교란에 대한 강건성을 향상시킨다.

ABSTRACT

Graph deep learning models, such as graph convolutional networks (GCN) achieve remarkable performance for tasks on graph data. Similar to other types of deep models, graph deep learning models often suffer from adversarial attacks. However, compared with non-graph data, the discrete features, graph connections and different definitions of imperceptible perturbations bring unique challenges and opportunities for the adversarial attacks and defenses for graph data. In this paper, we propose both attack and defense techniques. For attack, we show that the discreteness problem could easily be resolved by introducing integrated gradients which could accurately reflect the effect of perturbing certain features or edges while still benefiting from the parallel computations. For defense, we observe that the adversarially manipulated graph for the targeted attack differs from normal graphs statistically. Based on this observation, we propose a defense approach which inspects the graph and recovers the potential adversarial perturbations. Our experiments on a number of datasets show the effectiveness of the proposed methods.

연구 동기 및 목표

  • 그래프 신경망(GNN) 및 그래프에서의 노드 분류의 강건성 이슈를 고찰한다.
  • 이산 그래프 입력에 맞춘 효과적인 적대적 공격 방법을 개발한다.
  • GCN 강건성을 향상시키기 위해 그래프 전처리 기반의 방어 전략을 제안한다.
  • 공격 효과성과 방어 효율성을 보여주기 위한 실제 그래프 데이터셋에 대한 실증 평가를 제공한다.

제안 방법

  • 반지도 학습 노드 분류를 위한 Graph Convolutional Networks(GCN)을 채택하고 적대적 교란에 대한 취약성을 분석한다.
  • 특징과 간선이 이진/1-0인 이산 그래프 데이터에 대처하기 위해 integrated gradients guided attacks(IG-FGSM 및 IG-JSMA)을 제안하고, perturbations의 우선순위를 정하기 위해 integrated gradients를 사용한다.
  • perturbation budget를 정의하고 IG 점수에 따라 간선이나 특징을 반복적으로 교란하기 위한 의사코드(IG-JSMA)를 사용한다.
  • 간선 가중치를 학습 가능하게 만들어 방어를 연구하고, 더 효율적으로는 학습 전에 서로 다른 노드를 연결하는 간선을 제거하는 그래프 전처리 단계(낮은 Jaccard 유사도)를 통해 방어를 연구한다.
  • CORA-ML, Citeseer, Polblogs 데이터셋에서 공격 효과를 여백과 정확도로 평가하고 IG-JSMA를 FGSM, JSMA, nettack 같은 베이스라인과 비교한다.
  • 왜 간선 교란이 특징 교란보다 더 큰 영향을 미치는지와 유사도 기반 간선 제거가 어떻게 공격을 완화하는지 분석한다.

실험 결과

연구 질문

  • RQ1이산 특징과 비가중 간선을 갖는 그래프에서 integrated gradients가 적대적 교란에 대해 정확한 지침을 제공할 수 있는가?
  • RQ2IG-가이드 공격이 그래프 데이터에서 전통적 기울기 기반 공격과 비교해 효과성과 안정성에서 얼마나 우수한가?
  • RQ3GCN에서 모델 성능을 보존하면서 공격 성공률을 낮추는 방어 전략은 무엇인가?
  • RQ4노드 특징 유사도(예: Jaccard 유사도)에 기반한 전처리가 GCN에 대한 표적적 적대적 공격에 효과적으로 방어하는가?

주요 결과

  • IG-JSMA는 CORA, Citeseer, Polblogs 데이터셋 전반에서 대상 노드의 분류 여백을 감소시키는 데 베이스라인(random, FGSM, nettack)보다 우수하다.
  • Integrated gradients는 이산 그래프 데이터에서 공격을 안내하는 데 vanilla 기울기보다 더 정확하고 안정적인 중요도 추정치를 제공한다.
  • 간선 교란이 특징 교란보다 대상 분류를 손상시키는 데 더 효과적이다.
  • 서로 다른 노드를 연결하는 간선을 제거하는 방어(낮은 Jaccard 유사도)가 깨끗한 정확도에 거의 손실 없이 견고성을 높이고 공격에 무관하다.
  • 학습 가능하거나 조정된 인접 행렬(간선 가중치)로 학습하면 이전에 손상된 노드의 올바른 분류를 되찾을 수 있어, 적응 가능한 그래프 구조를 통한 강건성 개선을 시사한다.
  • 전처리 단계의 O(N) 복잡도로 계산 효율성을 유지하고 학습 시간에 미치는 영향이 최소이다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.