Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Attack Graph Convolutional Networks by Adding Fake Nodes

Xiaoyun Wang, Cheng, Minhao|arXiv (Cornell University)|2018. 10. 25.
Advanced Graph Neural Networks참고 문헌 30인용 수 57
한 줄 요약

본 논문은 최적화된 인접 관계와 특징을 가진 악성 노드를 삽입하여 GCN 성능을 저하시키는 가짜 노드 공격을 제시하고, 이러한 노드를 설계하기 위한 Greedy 및 Greedy-GAN 방법을 제안한다.

ABSTRACT

In this paper, we study the robustness of graph convolutional networks (GCNs). Previous work have shown that GCNs are vulnerable to adversarial perturbation on adjacency or feature matrices of existing nodes; however, such attacks are usually unrealistic in real applications. For instance, in social network applications, the attacker will need to hack into either the client or server to change existing links or features. In this paper, we propose a new type of "fake node attacks" to attack GCNs by adding malicious fake nodes. This is much more realistic than previous attacks; in social network applications, the attacker only needs to register a set of fake accounts and link to existing ones. To conduct fake node attacks, a greedy algorithm is proposed to generate edges of malicious nodes and their corresponding features aiming to minimize the classification accuracy on the target nodes. In addition, we introduce a discriminator to classify malicious nodes from real nodes, and propose a Greedy-GAN attack to simultaneously update the discriminator and the attacker, to make malicious nodes indistinguishable from the real ones. Our non-targeted attack decreases the accuracy of GCN down to 0.03, and our targeted attack reaches a success rate of 78% on a group of 100 nodes, and 90% on average for attacking a single target node.

연구 동기 및 목표

  • 공격자가 기존 노드를 변경하기보다는 가짜 노드를 추가하는 현실적인 공격 시나리오에서 GCN의 강건성 평가를 촉진한다.
  • 대상 노드의 정확도를 저하시키는 이산 인접 행렬과 특징 행렬을 갖는 가짜 노드를 설계하는 알고리즘을 개발한다.
  • 현실성 제약을 통해 거리 기반 및 특징 기반 탐지기에 의해 가짜 노드가 탐지되지 않도록 보장한다.
  • 비대상 및 대상 설정에서 표준 그래프 벤치마크(Cora 및 Citeseer)에서 공격 효과를 평가한다.

제안 방법

  • B, C, X_fake 행렬로 인접 행렬과 특징 행렬을 확장하여 B=0, C=I에서 시작하여 가짜 노드를 도입한다.
  • Greedy 공격을 제안하는데, 공격 목적 J의 기울기에 따라 가장 영향력 있는 간선이나 특징을 반복적으로 추가한다.
  • 상대적으로 비대상 공격 목적을 정의하고, 대상 노드들 간의 최다 로짓과 올바른 레이블 간의 여백을 합산하여 희소성 제약 하에서 이를 최대화한다.
  • 실제 노드와 유사해지도록 가짜 노드 특징을 유도하기 위해 판별기 D를 추가하여 Greedy-GAN으로 확장하고, 적대적 학습 하에서 J + c L(D(X'),Y)를 최적화한다.
  • 선택한 레이블로 목표 노드를 밀어넣는 목적으로 목표 공격에 맞게 목적 함수를 교체하고 그룹 및 단일 노드 시나리오로 평가한다.
  • 가짜 노드를 주입한 후 GCN을 재학습시키는 데이터 중독 실험을 제공하고 정규화에 따른 강건성을 평가한다.

실험 결과

연구 질문

  • RQ1가짜 노드를 삽입해 원래 노드의 속성을 수정하지 않고도 GCN의 성능을 저하시킬 수 있는가?
  • RQ2이산적 인접/특징 제약 하에서 Greedy 및 Greedy-GAN이 가짜 노드를 설계하는 데 얼마나 효과적인가?
  • RQ3판별기 가이드(GAN 유사) 접근이 탐지 가능성을 높이면서 공격 효과를 유지하는 데 도움이 되는가?
  • RQ4표준 벤치마크(Cora, Citeseer)에서 비대상 및 대상 노드 분류에 대한 가짜 노드의 영향은 어떠한가?
  • RQ5행 기반 및 대칭 정규화가 가짜 노드 공격 및 데이터 중독에 대한 강건성에 어떤 영향을 미치는가?

주요 결과

  • Greedy를 이용한 비대상 공격은 거의 최상위 성능 저하에 도달하며, 단일 노드 대상에서 정확도가 0.03까지 감소하는 경우가 있다.
  • 100개의 노드에 대한 그룹 대상 공격은 상당한 성공을 거두며, 공통 클래스와 대상 레이블 선정을 사용할 때 효능이 더 높다.
  • Greedy-GAN은 가짜 노드를 실제 노드와 구별하기 어렵게 만들 수 있어 공격 성능이 경쟁력 있게 유지되면서 탐지 회피성을 향상시킨다.
  • 데이터 중독 실험은 공격과 데이터 수정 후 재학습 모두 GCN 정확도를 크게 감소시키고, 대칭 정규화가 상대적 강건성을 보인다.
  • 공격은 그래프 구조를 약간만 교란하고 네트워크 분포의 근접 범위 내에서 변경되며, 차수 기반 분석에서 저차수 노드가 더 취약하다는 것을 보인다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.