Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Attacking Graph Convolutional Networks via Rewiring

Yao Ma, Suhang Wang|arXiv (Cornell University)|2019. 06. 10.
Adversarial Robustness in Machine Learning참고 문헌 32인용 수 62
한 줄 요약

본 논문은 그래프 재배선을 이용한 GCN에 대한 적대적 공격을 제안하며, 강화 학습을 통해 그래프 구조를 미묘하게 교란하고 전역 그래프 특성을 보존하는 재배선 전략을 학습하여 여러 데이터셋에서 간선 추가/삭제 기준보다 더 높은 공격 성공률을 달성합니다.

ABSTRACT

Graph Neural Networks (GNNs) have boosted the performance of many graph related tasks such as node classification and graph classification. Recent researches show that graph neural networks are vulnerable to adversarial attacks, which deliberately add carefully created unnoticeable perturbation to the graph structure. The perturbation is usually created by adding/deleting a few edges, which might be noticeable even when the number of edges modified is small. In this paper, we propose a graph rewiring operation which affects the graph in a less noticeable way compared to adding/deleting edges. We then use reinforcement learning to learn the attack strategy based on the proposed rewiring operation. Experiments on real world graphs demonstrate the effectiveness of the proposed framework. To understand the proposed framework, we further analyze how its generated perturbation to the graph structure affects the output of the target model.

연구 동기 및 목표

  • 적대적 구조 perturbation에 대한 GNN의 강건한 평가를 촉진한다.
  • 노드/간선 수를 보존하고 라플라시안 perturbation을 최소화하는 재배선 연산을 제안한다.
  • 예산 하에서 재배선 정책을 학습하는 RL 기반 공격기인 ReWatt를 개발한다.
  • 실세계 소셜 그래프에서 공격 효과를 평가하고 그래프 임베딩 및 출력에 대한 perturbation 효과를 분석한다.

제안 방법

  • 재배선 연산 정의: 간선 (v_fir, v_sec)를 (v_fir, v_thi)로 교체하되 v_sec는 v_fir의 1-hop 이웃이고 v_thi는 v_fir의 2-hop 이웃이다.
  • 공격을 중간 그래프를 상태로, 재배선 연산을 행동으로 하는 마르코프 결정 프로세스로 모델링한다.
  • 정책 네트워크(세 가지 구성요소)를 사용하여 간선과 첫 번째 또는 두 번째 노드, 그리고 재배선을 위한 세 번째 노드를 GCN에서 파생된 임베딩에 기반하여 선택한다.
  • 공격자를 대상 GCN 분류기에게 블랙박스로 취급하고 정책 기울기(policy gradient)를 통해 공격 보상을 극대화하도록 정책을 최적화한다.
  • 보상 구조: 공격된 그래프의 예측 레이블이 원래와 다르면 +1, 한 걸음당 부정적 보상을 주어 공격을 더 짧게 종료하도록 한다.
  • 재배선 예산은 그래프 크기에 비례하며 K = p * |E|이며 p는 {1%, 2%, 3%} 중 하나이다.

실험 결과

연구 질문

  • RQ1그래프 재배선이 간선 추가/삭제에 비해 더 작은 지각 변화로 적대적 영향을 달성할 수 있는가?
  • RQ2RL-학습 재배선이 동일 예산 하에서 기존의 간선 추가/삭제 공격과 비교하여 효과적인가?
  • RQ3재배선이 그래프 라플라시안 기반 특성과 그에 따른 GCN 출력에 어떤 영향을 미치는가?
  • RQ4유연한 예산(p * |E|)이 다양한 그래프 크기에서 공격 성공을 향상시키는가?

주요 결과

  • ReWatt은 REDDIT-MULTI-12K, REDDIT-MULTI-5K, IMDB-MULTI 데이터셋에서 K = 1, 2, 3의 다양한 p 값에 대해 RL-S2V 및 임의 기준선보다 공격 성공률이 높음을 보인다.
  • REDDIT-MULTI-12K에서 ReWatt은 14.4% (K=1)에서 38.7% (K=3)까지의 성공률을 달성하고, REDDIT-MULTI-5K에서 8.99%에서 23.3%까지, IMDB-MULTI에서 setup에 따라 23.0%에서 23.3%까지의 성공률을 보인다.
  • ReWatt-a(2-hop 제약 없이)는 ReWatt보다 성능이 더 향상되어 더 큰 유연성이 더 강한 공격으로 이어지지만 변화가 더 눈에 띌 수 있음을 시사한다.
  • 유연한 보상 설계(ReWatt-n)는 주요 ReWatt 설정에 비해 성능이 떨어져 제안된 보상 구조의 이점을 강조한다.
  • 공격 perturbation은 성공 여부에 관계없이 그래프 표현 및 로짓 값을 크게 변화시키며, RL 정책이 재배선을 의미 있게 조정함을 보여준다.
  • ReWatt-랜덤 변형들은 학습된 정책이 효율성에 기여하여 동일하거나 더 나은 성공에 도달하기 위해 필요한 재배선 수를 줄임을 시사한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.