[论文解读] Adversarial Attack on Graph Structured Data
本?文研究通过修改图结构对图神经网络(GNNs)进行对抗性攻击,提出基于强化学习的攻击方法(RL-S2V)以及若干白盒/黑盒变体,并在图级和节点级任务上评估脆弱性并给出防御思路。
Deep learning on graph structures has shown exciting results in various applications. However, few attentions have been paid to the robustness of such models, in contrast to numerous research work for image or text adversarial attack and defense. In this paper, we focus on the adversarial attacks that fool the model by modifying the combinatorial structure of data. We first propose a reinforcement learning based attack method that learns the generalizable attack policy, while only requiring prediction labels from the target classifier. Also, variants of genetic algorithms and gradient methods are presented in the scenario where prediction confidence or gradients are available. We use both synthetic and real-world data to show that, a family of Graph Neural Network models are vulnerable to these attacks, in both graph-level and node-level classification tasks. We also show such attacks can be used to diagnose the learned classifiers.
研究动机与目标
- 证明图神经网络(GNNs)对图结构的对抗性修改是脆弱的。
- 使用强化学习开发可泛化的攻击策略,只需要目标模型的预测标签。
- 在对目标分类器不同访问级别下提供额外的攻击方法(白盒和黑盒变体)。
- 在合成图分类任务和真实世界节点分类数据集上评估攻击效果,并探讨防御策略。
提出的方法
- 将图对抗攻击建模为一个有限-horizon MDP,其中动作为添加或删除边。
- 引入分层Q学习(RL-S2V),结合structure2vec(S2V)节点嵌入来参数化Q函数。
- 提供两步行动分解,将二次的边行动空间降至线性复杂度。
- 提供额外的攻击方法:RandSampling(随机)、GradArgmax(梯度基的白盒)和 GeneticAlg(用于黑盒的遗传算法)。
- 建模等价约束 I(G, G~, c),以确保修改保持在预定义的语义或邻域范围内。
实验结果
研究问题
- RQ1GNNs 是否能仅通过对图的结构进行微小修改而不改变节点特征就被可靠地欺骗?
- RQ2攻击者如何学习一个可迁移的图修改策略,使其在未见图和受限分类信息下也能工作?
- RQ3在不同信息获取情景(白盒、实际黑盒、受限黑盒)下,对图结构数据有哪些有效的攻击策略?
主要发现
- 图神经网络对图结构的对抗性修改在图级和节点级任务中都是脆弱的。
- RL-S2V 能够学习可迁移的攻击策略,在受限信息设置下对未见图具有泛化性。
- 基于梯度的方法和遗传算法在白盒和实际黑盒设置下分别提供具有竞争力的攻击能力。
- 通过对抗性训练(边缘丢弃)的防御策略可以提高鲁棒性,但不能消除脆弱性。
- 攻击在图大小和传播深度变化时在GNNs中仍然有效。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。