Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Node-Level Membership Inference Attacks Against Graph Neural Networks

Xinlei He, Rui Wen|arXiv (Cornell University)|2021. 02. 10.
Privacy-Preserving Technologies in Data참고 문헌 55인용 수 50
한 줄 요약

이 논문은 블랙박스 설정에서 그래프 신경망(GNN)에 대한 노드 수준 멤버십 추론 공격을 처음으로 포괄적으로 제시하며, 0-hop, 2-hop, 결합 공격을 제안하고 그래프 속성이 공격 성공에 어떻게 영향을 미치는지 분석하며 방어를 제안한다.

ABSTRACT

Many real-world data comes in the form of graphs, such as social networks and protein structure. To fully utilize the information contained in graph data, a new family of machine learning (ML) models, namely graph neural networks (GNNs), has been introduced. Previous studies have shown that machine learning models are vulnerable to privacy attacks. However, most of the current efforts concentrate on ML models trained on data from the Euclidean space, like images and texts. On the other hand, privacy risks stemming from GNNs remain largely unstudied. In this paper, we fill the gap by performing the first comprehensive analysis of node-level membership inference attacks against GNNs. We systematically define the threat models and propose three node-level membership inference attacks based on an adversary's background knowledge. Our evaluation on three GNN structures and four benchmark datasets shows that GNNs are vulnerable to node-level membership inference even when the adversary has minimal background knowledge. Besides, we show that graph density and feature similarity have a major impact on the attack's success. We further investigate two defense mechanisms and the empirical results indicate that these defenses can reduce the attack performance but with moderate utility loss.

연구 동기 및 목표

  • GNN에서 노드 수준 멤버십 추론에 대한 위협 모델 정의.
  • 블랙박스 접근 하에서 세 가지 공격 모델(0-hop, 2-hop, 결합) 개발.
  • 여러 GNN 아키텍처와 데이터셋에 걸친 공격 성공도 평가.
  • 공격 성공에 영향을 주는 요인(밀도, 특징 유사도) 식별.
  • 멤버십 추론 위험을 완화하는 방어책을 제안·평가하되 유용성 손실을 고려.

제안 방법

  • 세 가지 차원(섀도우 데이터세트, 섀도우 모델, 노드 토폴로지)에 따라 공격자의 배경 지식을 분류한다.
  • 0-hop(노드 특징만 사용), 2-hop(2-hop 서브그래프 사용), 결합(두 입력 모두 사용)이라는 세 가지 공격 모델을 정의하고 구현한다.
  • 목표를 모방하기 위해 분리된 섀도우 데이터세트에서 섀도우 GNN을 학습시키고, 모든 노드를 대상으로 섀도우 모델에 질의해 공격 학습 데이터를 생성한다.
  • 타깃 모델 또는 섀도우 모델이 생성한 후에 확률(포스터리어)을 바탕으로 이진 공격 모델(MLP)을 학습해 멤버십을 예측한다.
  • 0-hop 또는 2-hop 입력으로 타깃 모델에 질의해 포스터리어를 얻고 공격 모델을 실행해 멤버십 추론을 수행한다.
  • GraphSAGE, GAT, GIN에 대해 네 가지 데이터셋(Cora, Citeseer, Cora-full, LastFM Asia)에서 공격을 평가한다.

실험 결과

연구 질문

  • RQ1블랙박스 적대자가 노드 수준의 멤버십 추론 하에서 노드가 GNN의 학습 세트에 포함되었는지 추론할 수 있는가?
  • RQ2효과적인 공격에 충분한 배경 지식(섀도우 데이터/모델, 노드 토폴로지)은 무엇인가?
  • RQ30-hop 또는 2-hop 포스터리어가 더 많은 멤버십 정보를 나타내는가, 입력 결합이 추론을 향상시킬 수 있는가?
  • RQ4부분그래프 밀도나 특징 유사도와 같은 그래프 속성이 공격 성공에 어떤 영향을 미치는가?
  • RQ5이러한 공격을 완화하되 허용 가능한 유용성 손실을 보장하는 방어책은 무엇인가?

주요 결과

  • 0-hop 공격은 높은 정확도에 도달할 수 있다(예: Citeseer에서 GraphSAGE의 0.791).
  • 0-hop이 때때로 멤버십 추론 효율에서 2-hop 공격보다 우수한 경우가 있다(예: Cora의 GraphSAGE에서 0-hop 0.754 대 2-hop 0.671).
  • 결합 공격은 일반적으로 모든 설정에서 가장 강력한 성능을 보인다.
  • 공격 성공은 타깃 모델의 과적합과 상관관계가 있다(훈련-테스트 차이가 클수록).
  • 노드 밀도, 에고 밀도, 그리고 특징 유사도가 공격 성공에 긍정적으로 작용한다; 밀도와 유사도가 높을수록 추론 위험이 증가한다.
  • 방어책은 공격 성능을 감소시킬 수 있지만 유용성 손실은 중간 정도이다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.