Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Understanding and Improving Graph Injection Attack by Promoting Unnoticeability

Yongqiang Chen, Han Yang|arXiv (Cornell University)|2022. 02. 16.
Adversarial Robustness in Machine Learning인용 수 26
한 줄 요약

이 논문은 Graph Injection Attack (GIA)를 분석하고 GIA가 방어가 없을 때 Graph Modification Attacks (GMA)보다 더 큰 해를 끼친다는 점을 보이며, Harmonious Adversarial Objective (HAO)을 제안하여 동종성(homophily) 무시 가능성을 달성하고, 동종성 기반 방어조차도 더 강한 GIA 공격을 가능하게 한다.

ABSTRACT

Recently Graph Injection Attack (GIA) emerges as a practical attack scenario on Graph Neural Networks (GNNs), where the adversary can merely inject few malicious nodes instead of modifying existing nodes or edges, i.e., Graph Modification Attack (GMA). Although GIA has achieved promising results, little is known about why it is successful and whether there is any pitfall behind the success. To understand the power of GIA, we compare it with GMA and find that GIA can be provably more harmful than GMA due to its relatively high flexibility. However, the high flexibility will also lead to great damage to the homophily distribution of the original graph, i.e., similarity among neighbors. Consequently, the threats of GIA can be easily alleviated or even prevented by homophily-based defenses designed to recover the original homophily. To mitigate the issue, we introduce a novel constraint -- homophily unnoticeability that enforces GIA to preserve the homophily, and propose Harmonious Adversarial Objective (HAO) to instantiate it. Extensive experiments verify that GIA with HAO can break homophily-based defenses and outperform previous GIA attacks by a significant margin. We believe our methods can serve for a more reliable evaluation of the robustness of GNNs.

연구 동기 및 목표

  • 단일화된 설정에서 GIA와 GMA를 비교하여 상대적 해를 평가한다.
  • GIA의 유연성이 그래프 동종성에 얼마나 손상을 주고 공격을 가능하게 하는지 확인한다.
  • GIA 중에 동종성을 보존하기 위한 제약 및 목표(HAO)를 도입한다.
  • HAO를 갖춘 GIA가 동종성 기반 방어를 무력화하고 이전 공격보다 성능이 우수함을 입증한다.
  • 동종성 제약 하에서 GIA를 최적화하기 위한 적응적 주입 전략을 제공한다.

제안 방법

  • 단일화된 회피-유도-블랙박스 설정에서 그래프 적대적 공격을 형식화한다.
  • GIA와 GMA 교란을 특징짓고 그 효과를 비교하는 이론적 결과를 입증한다.
  • 동종성 무시 가능성(homophily unnoticeability)과 Harmonious Adversarial Objective (HAO)를 도입하여 교란을 제약한다.
  • 실무에서 HAO를 구현하기 위한 적응적 주입 전략(그라디언트 기반, 휴리스틱 기반, 순차적)을 개발한다.
  • 다항 매핑(plural mapping)을 통해 GMA 교란을 GIA로 매핑하여 공격력을 분석한다 (Theorem 1).
  • 여러 데이터셋과 방어 모델에 걸친 실증 검증을 제공한다.]

실험 결과

연구 질문

  • RQ1방어가 없는 상태에서 어떤 조건에서 GIA가 GMA보다 명백하게 더 해롭다고 증명될 수 있는가?
  • RQ2동종성에 대한 손상이 동종성 기반 수호자에 대한 GIA의 강건성에 어떤 영향을 미치는가?
  • RQ3소프트한 동종성 제약(HAO)이 방어를 우회하면서 공격 효과를 유지하게 할 수 있는가?
  • RQ4HAO를 사용할 때 적응적 주입 전략이 GIA 성능을 향상시키는가?

주요 결과

  • 방어가 없을 때 동일 예산에서도 GIA가 GMA보다 더 해로울 수 있다 (Theorem 1).
  • GIA는 동종성에 심각한 손상을 일으키는 경향이 있어 동종성 기반 방어에 의해 방어 가능하게 만든다 (Theorem 2).
  • HAO를 통한 동종성 무시 가능성 도입은 동종성을 보존하면서도 효과적인 공격을 가능하게 한다 (Theorem 3).
  • HAO가 적용된 GIA는 데이터셋과 방어 전반에 걸쳐 비표적 공격 성능을 크게 향상시키며 경우에 따라 최대 약 30% 향상.
  • HAO를 이용한 표적 공격도 대형 그래프와 다수의 데이터셋에서 상당한 이득을 보인다.
  • 적응적 주입 전략(그라디언트 기반, 휴리스틱 기반, 순차적)은 HAO 하에서 공격 효과를 향상시킨다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.