Skip to main content
Nubint
QUICK REVIEW

[论文解读] Fast Gradient Attack on Network Embedding

Jinyin Chen, Yangyang Wu|arXiv (Cornell University)|Sep 8, 2018
Advanced Graph Neural Networks参考文献 46被引用 135
一句话总结

本文提出快速梯度攻击(FGA),是一种利用经过训练的 GCN 的梯度信息来扰动网络并攻击多种网络嵌入方法的对抗性网络生成器,在仅修改少量边的情况下实现高攻击成功率,并具有较强的转移性。

ABSTRACT

Network embedding maps a network into a low-dimensional Euclidean space, and thus facilitate many network analysis tasks, such as node classification, link prediction and community detection etc, by utilizing machine learning methods. In social networks, we may pay special attention to user privacy, and would like to prevent some target nodes from being identified by such network analysis methods in certain cases. Inspired by successful adversarial attack on deep learning models, we propose a framework to generate adversarial networks based on the gradient information in Graph Convolutional Network (GCN). In particular, we extract the gradient of pairwise nodes based on the adversarial network, and select the pair of nodes with maximum absolute gradient to realize the Fast Gradient Attack (FGA) and update the adversarial network. This process is implemented iteratively and terminated until certain condition is satisfied, i.e., the number of modified links reaches certain predefined value. Comprehensive attacks, including unlimited attack, direct attack and indirect attack, are performed on six well-known network embedding methods. The experiments on real-world networks suggest that our proposed FGA behaves better than some baseline methods, i.e., the network embedding can be easily disturbed using FGA by only rewiring few links, achieving state-of-the-art attack performance.

研究动机与目标

  • 通过展示嵌入易被扭曲,来激发对网络嵌入的隐私与鲁棒性的担忧。
  • 开发一个利用 GCN 梯度信息来创建扰动的对抗性网络生成器。
  • 证明 FGA 在除了 GCN 之外的多种嵌入方法上的有效性。
  • 评估基于 GCN 衍生扰动向其他网络嵌入方法的转移性。

提出的方法

  • 定义网络嵌入及网络嵌入攻击框架。
  • 训练一个两层 GCN,并计算目标损失关于邻接矩阵的梯度以形成边梯度网络(LGN)。
  • 迭代选择具有最大绝对梯度的节点对,并按梯度符号通过添加/删除边来更新对抗性邻接矩阵(算法1)。
  • 生成具有 K 个修改的对抗网络,以最大化目标节点的损失,产生可转移到其他嵌入的扰动。
  • 对 GCN 的白盒攻击(直接、间接、无限制)进行评估;以及对 GraRep、DeepWalk、node2vec、LINE 和 GraphGAN 的黑盒攻击评估;并与基线方法(RA、DICE、NETTACK)进行比较。
  • 在 Pol.Blogs、Cora 和 Citeseer 数据集上使用 ASR(攻击成功率)和 AML(平均修改边数)作为主要指标。

实验结果

研究问题

  • RQ1基于 GCN 的梯度框架是否能够有效生成对抗性扰动,从而在网络嵌入中误导目标节点的分类?
  • RQ2通过 FGA 构造的扰动是否能够转移至除了 GCN 以外的其他嵌入方法?
  • RQ3不同数据集和方法下,扰动规模(修改边的数量)与攻击成功之间的权衡如何?
  • RQ4在 ASR 和 AML 方面,FGA 与基线攻击(RA、DICE、NETTACK)相比如何?
  • RQ5攻击类型(直接、间接、无限制)如何影响在不同网络结构上的有效性?

主要发现

  • FGA 在多种嵌入方法和数据集上通常实现更高的攻击成功率,并且所需修改的链接更少,优于基线攻击。
  • 在 Cora 和 Citeseer 上,无限制的 FGA 在每个目标节点更改 20 条链接时,在节点分类任务中达到 100% 的 ASR。
  • 直接的 FGA 通常优于 NETTACK 和 DICE,特别是在 Pol.Blogs、Cora 和 Citeseer 数据集上。
  • 对白盒攻击(针对 GCN)往往略微比黑盒攻击更有效,平均需要的边更少。
  • FGA 展现出强鲁棒性转移性,尽管来自 GCN 梯度框架,却能对 GraRep、DeepWalk、node2vec、LINE 和 GraphGAN 进行有效攻击。
  • 在等效攻击范围下,FGA 的时间复杂度低于 NETTACK,同时保持具有竞争力的 ASR/AML。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。