[论文解读] Adversarial Attacks on Node Embeddings via Graph Poisoning
本篇论文分析基于随机游走的无监督节点嵌入对对抗性图扰动的鲁棒性,并提出高效的投毒攻击,降低嵌入质量并在模型间具有迁移性。
The goal of network representation learning is to learn low-dimensional node embeddings that capture the graph structure and are useful for solving downstream tasks. However, despite the proliferation of such methods, there is currently no study of their robustness to adversarial attacks. We provide the first adversarial vulnerability analysis on the widely used family of methods based on random walks. We derive efficient adversarial perturbations that poison the network structure and have a negative effect on both the quality of the embeddings and the downstream tasks. We further show that our attacks are transferable since they generalize to many models and are successful even when the attacker is restricted.
研究动机与目标
- 评估无监督节点嵌入(特别是 DeepWalk 风格、基于 RW 的方法)对对抗性图扰动的脆弱性。
- 在固定预算下,开发仅操作图结构(边)而不改变特征的高效投毒攻击算法。
- 将分析扩展至基于谱的嵌入,并评估攻击在不同模型之间的可迁移性。
- 在受限攻击设置下探索定向攻击(节点分类与链路预测)。
提出的方法
- 提出双层攻击:在预算约束下通过扰动邻接矩阵来最大化嵌入损失,同时在攻击后重新计算嵌入。
- 利用基于 PMI 的解释,表明 DeepWalk 对应于共现矩阵的秩-K 近似,从而实现单层优化。
- 使用特征值扰动理论在不重新计算完整 SVD 的情况下近似损失变化(Theorem 1)。
- 提供稀疏的闭式近似(Theorem 2),在单次边翻转后界定谱的变化,从而实现快速评估。
- 对候选边翻转集合进行贪心选择,以最大化代理损失(L_DW3),复杂度为 O(|V|·|E| + C|V| log|V|)。
- 通过近似目标嵌入(Theorem 3)并评估错分概率(节点分类)或 AP 分数(链接预测),扩展到定向攻击。
实验结果
研究问题
- RQ1基于随机游走的无监督节点嵌入是否能够通过扰动图结构进行有意义的攻击?
- RQ2如何在离散的图域中高效计算对抗性边翻转,而不通过采样进行梯度反向传播?
- RQ3投毒攻击是否会在不同嵌入模型之间迁移并在受攻击限制下仍然有效?
- RQ4定向攻击对下游任务(如节点分类和链接预测)的影响如何?
主要发现
- 与基线相比,边的对抗性扰动可以显著降低嵌入质量及下游任务性能。
- 一种闭式、无梯度攻击(A_DW3)优于基于梯度的方法,并且与真实损失变化非常接近。
- 在受限预算下甚至当仅有部分节点是目标或候选边受限时,攻击仍然有效。
- 定向攻击可错误分类高度节点并降低链接预测性能,对下游指标有显著影响。
- 攻击在多种基于 RW 的和谱嵌入方法之间表现出迁移性,表明更广泛的脆弱性。
- 我们的分析表明,对抗性边并不易被简单的中心性启发式方法所表征;有效的攻击涉及基于谱的原理扰动。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。