Skip to main content
QUICK REVIEW

[논문 리뷰] Node Injection Attacks on Graphs via Reinforcement Learning

Yiwei Sun, Suhang Wang|arXiv (Cornell University)|2019. 09. 14.
Adversarial Robustness in Machine Learning참고 문헌 27인용 수 31
한 줄 요약

이 논문은 강화학습 기반 프레임워크인 NIPA를 제안한다. NIPA는 기존의 간선을 수정하지 않고도 그래프의 노드 분류 성능을 악화시키기 위해 최적화된 특징과 연결을 가진 악성 노드를 전략적으로 삽입하는 비대상 노드 주입 공격을 수행한다. 계층적 딥 Q-네트워크를 사용하여 NIPA는 기존의 최고 성능 기법들을 능가하며, 그래프의 구조 통계를 유지하면서 그래프 분류기를 오염시킨다.

ABSTRACT

Real-world graph applications, such as advertisements and product recommendations make profits based on accurately classify the label of the nodes. However, in such scenarios, there are high incentives for the adversaries to attack such graph to reduce the node classification performance. Previous work on graph adversarial attacks focus on modifying existing graph structures, which is infeasible in most real-world applications. In contrast, it is more practical to inject adversarial nodes into existing graphs, which can also potentially reduce the performance of the classifier. In this paper, we study the novel node injection poisoning attacks problem which aims to poison the graph. We describe a reinforcement learning based method, namely NIPA, to sequentially modify the adversarial information of the injected nodes. We report the results of experiments using several benchmark data sets that show the superior performance of the proposed method NIPA, relative to the existing state-of-the-art methods.

연구 동기 및 목표

  • 기존 간선을 수정하지 않는 그래프 적대적 공격의 격차를 보완하기 위해.
  • 기존 그래프 구조를 변경하지 않고 가짜 노드를 주입하여 악성 특징과 레이블을 부여함으로써 그래프 분류기를 오염시키는 실용적인 공격 전략을 개발하기 위해.
  • 스케일이 가능하고 효과적인 비대상 그래프 오염 방법을 설계하여 공격의 도청성을 높이기 위해, 핵심 그래프 통계를 유지하기 위해.
  • 주입 비율, 노드 차수, 그래프 희소성과 같은 공격 파라미터가 공격 성능에 미치는 영향을 조사하기 위해.

제안 방법

  • NIPA는 공격를 마르코프 결정 과정으로 모델링하기 위해 계층적 딥 Q-네트워크(HQN)를 사용하여 순차적 의사결정을 가능하게 한다.
  • 공격 성공률이 낮거나 구조적 편차가 클 경우에 벌점을 주는 맞춤형 보상 함수를 통해 주입된 노드의 특징과 링크 구조를 동시에 최적화한다.
  • 이중 단계 학습 과정을 사용한다: 첫 번째 단계에서는 에이전트가 주입된 노드를 기존 노드에 연결하는 법을 학습하고, 두 번째 단계에서는 오분류를 극대화하기 위해 악성 레이블을 할당하는 법을 학습한다.
  • 보상 함수는 공격 효과성(정확도 감소 측정)과 도청성(정상 그래프와의 그래프 통계 유사도 측정)을 균형 잡기 위해 설계되었다.
  • 파워 법 지수, 기니 계수, 삼각형 수와 같은 그래프 통계는 오염된 그래프의 구조 무결성을 평가하는 데 사용된다.
  • GCN 및 GAT 분류기를 사용하여 기준 데이터셋(CORA, CITESEER, PubMed)에서 공격 예산과 그래프 희소성의 변화에 따라 평가되었다.

실험 결과

연구 질문

  • RQ1기존 간선을 수정하지 않고도 NIPA는 노드 분류 정확도를 얼마나 효과적으로 낮출 수 있는가?
  • RQ2오염된 그래프가 원본 정상 그래프의 구조적 특성(예: 차수 분포, 삼각형 수)을 어느 정도 유지하는가?
  • RQ3주입 비율과 주입된 노드의 평균 차수와 같은 공격 파라미터는 공격 성능에 어떤 영향을 미치는가?
  • RQ4그래프의 희소성은 노드 주입 공격의 효과성에 어떤 영향을 미치는가?

주요 결과

  • 주입 비율 r=0.1일 때 CORA에서 NIPA는 노드 분류 정확도를 0.6035 ± 0.0003으로 낮췄으며, 정상 그래프 기준값 0.9263 ± 0.0010보다 뚜렷한 감소를 보였다.
  • r=0.1일 때 PubMed에서 NIPA는 평균 F1 스코어 2.1686 ± 0.0141을 기록하여 기존 방법들보다 공격 효과성이 뛰어났다.
  • 오염된 그래프는 정상 그래프와 높은 구조적 유사성을 유지했으며, 파워 법 지수와 기니 계수 값이 원본과 유사하여 도청성이 높음을 시사했다.
  • 주입된 노드의 평균 차수를 3에서 10으로 증가시킬수록 노드 분류 정확도가 급격히 감소하여 연결성이 공격 성공에 중요한 역할을 함을 확인했다.
  • 희소한 그래프에서는 NIPA의 공격 효과성이 증가했으며, 간선 제거 비율이 90%일 경우 이웃의 강건성이 떨어져 정확도 감소가 더 크게 나타났다.
  • 주입 비율이 높아질수록 오염된 그래프의 삼각형 수가 증가하여, NIPA가 영향력을 극대화하기 위해 연결된 부분 그래프를 전략적으로 형성함을 나타냈다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.