Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Stealing Links from Graph Neural Networks

Xinlei He, Jinyuan Jia|arXiv (Cornell University)|2020. 05. 05.
Advanced Graph Neural Networks참고 문헌 89인용 수 38
한 줄 요약

본 논문은 GNN을 학습에 사용된 그래프의 노드 쌍이 연결되어 있는지 여부를 추론하는 여덟 개의 블랙박스 링크 도용 공격을 제시하며, 다양한 적대자 지식 설정에서 eight real-world datasets에 대해 높은 AUC를 보여준다.

ABSTRACT

Graph data, such as chemical networks and social networks, may be deemed confidential/private because the data owner often spends lots of resources collecting the data or the data contains sensitive information, e.g., social relationships. Recently, neural networks were extended to graph data, which are known as graph neural networks (GNNs). Due to their superior performance, GNNs have many applications, such as healthcare analytics, recommender systems, and fraud detection. In this work, we propose the first attacks to steal a graph from the outputs of a GNN model that is trained on the graph. Specifically, given a black-box access to a GNN model, our attacks can infer whether there exists a link between any pair of nodes in the graph used to train the model. We call our attacks link stealing attacks. We propose a threat model to systematically characterize an adversary's background knowledge along three dimensions which in total leads to a comprehensive taxonomy of 8 different link stealing attacks. We propose multiple novel methods to realize these 8 attacks. Extensive experiments on 8 real-world datasets show that our attacks are effective at stealing links, e.g., AUC (area under the ROC curve) is above 0.95 in multiple cases. Our results indicate that the outputs of a GNN model reveal rich information about the structure of the graph used to train the model.

연구 동기 및 목표

  • GNN을 그래프 데이터에서 학습할 때 프라이버시/IP 이슈를 동기화하고 형식화한다.
  • 8가지 배경 지식 구성으로 포괄적인 위협 모델을 제시한다.
  • 노드 속성 유사성 및 GNN 포스터리어를 이용한 여덟 가지 링크 도용 공격을 개발한다.
  • 다양한 실제 데이터세트에서 공격을 평가하여 공개 위험을 정량화한다.

제안 방법

  • 3차원 적대자 지식 공간(node attributes, partial graph, shadow dataset)을 정의하여 여덟 가지 공격 유형을 도출한다.
  • 타깃 GNN의 포스터리어 및 가능하면 섀도우 모델의 포스터리어를 활용한 비지도 및 지도 학습 공격을 개발하고, 포스터리어 거리 및 엔트로피에서 특징을 구성한다.
  • 거리 척도(여덟 가지 옵션)와 쌍 벡터 연산(네 가지 옵션)을 공격 모델(예: MLP) 특징으로 사용한다.
  • 전이 공격에서 별도 데이터셋으로 섀도우 모델을 구성하고 차원의 불일치에도 포스터리어 유사성을 연결하는 특징을 만든다.
  • 타깃 및 참조 GNN을 학습(두 층 GCN 및 MLP 참조)하고 주 메트릭으로 AUC를 평가한다.
  • 지배적한 벤치마크들과 비교하고 각 지식 차원이 공격 효과에 미치는 영향을 분석한다.

실험 결과

연구 질문

  • RQ1블랙박스 GNN의 출력으로부터 학습 그래프의 엣지 존재 여부를 밝힐 수 있는가?
  • RQ2노드 속성, 부분 그래프, 그림자 데이터셋의 배경 지식이 링크 도용 성능에 어떻게 영향을 미치는가?
  • RQ3섀도우 데이터를 이용한 전이 공격이 순수 로컬 공격보다 성능이 우수한가? 어떤 도메인 조건에서 그렇다면 그렇지 않은가?
  • RQ4공격 성공에 대한 세 가지 지식 차원의 상대적 영향은 무엇인가?
  • RQ5링크 도용 공격이 동일한 부분 그래프에서 표준 링크 예측 벤치마크를 능가하는가?

주요 결과

  • 여덟 가지 공격 변형이 여덟 개의 실제 데이터셋에서 높은 AUC를 달성하여 GNN 출력으로부터 그래프 구조의 상당한 누출이 있음을 시사한다.
  • 배경 지식이 많을수록 일반적으로 공격 성능이 향상되며, 예를 들어 Citeseer는 세 가지 지식 차원이 모두 가능할 때 최대 0.977 AUC에 도달한다.
  • 지식 차원 중에서 타깃 그래프의 부분 엣지가 가장 큰 영향을 미치며 그다음이 노드 속성이고, 그림자 데이터셋은 가장 작은 영향을 준다.
  • 전이 공격은 특히 그림자 도메인과 타깃 도메인이 비슷할 때 높은 AUC를 달성할 수 있어 도메인 유사성이 정보 전이에 도움을 준다는 것을 시사한다.
  • 부분 그래프에만 의존하는 전통적인 링크 예측 방법보다 공격이 더 우수한 성능을 보인다.
  • 공격은 GNN 포스터리어가 학습 그래프에 대한 풍부한 구조 정보를 암호화한다는 것을 보여준다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.