QUICK REVIEW

[论文解读] Attacking Graph Convolutional Networks via Rewiring

Yao Ma, Suhang Wang|arXiv (Cornell University)|Jun 10, 2019

Adversarial Robustness in Machine Learning参考文献 32被引用 62

一句话总结

该论文提出一种针对GCN的图重连对抗攻击，使用强化学习学习重连策略，在不显著改变全局图性质的情况下悄然扰动图结构，在多个数据集上比边添加/删除基线具有更高的攻击成功率。

ABSTRACT

Graph Neural Networks (GNNs) have boosted the performance of many graph related tasks such as node classification and graph classification. Recent researches show that graph neural networks are vulnerable to adversarial attacks, which deliberately add carefully created unnoticeable perturbation to the graph structure. The perturbation is usually created by adding/deleting a few edges, which might be noticeable even when the number of edges modified is small. In this paper, we propose a graph rewiring operation which affects the graph in a less noticeable way compared to adding/deleting edges. We then use reinforcement learning to learn the attack strategy based on the proposed rewiring operation. Experiments on real world graphs demonstrate the effectiveness of the proposed framework. To understand the proposed framework, we further analyze how its generated perturbation to the graph structure affects the output of the target model.

研究动机与目标

促进对GNN在对抗性结构扰动下的鲁棒性评估。
提出一种重连操作，保持节点/边数量并尽量减少拉普拉斯扰动。
开发 ReWatt，一种基于强化学习的攻击者，在预算约束下学习重连策略。
在真实世界的社交图上评估攻击效果，并分析扰动对图嵌入和输出的影响。

提出的方法

定义一种重连操作：用 (v_fir, v_thi) 替换边 (v_fir, v_sec)，其中 v_sec 是 v_fir 的 1 跃邻居，v_thi 是 v_fir 的 2 跃邻居。
将攻击建模为一个马尔可夫决策过程，状态为中间图，动作为重连操作。
使用一个包含三个组件的策略网络，根据 GCN 派生的嵌入来选择边、第一节点或第二节点，以及用于重连的第三节点。
将攻击者视为对目标 GCN 分类器的黑箱，并通过策略梯度优化策略以最大化攻击奖励。
奖励结构：若攻击图的预测标签与原始不同则 +1；每步负奖励以鼓励更短的攻击。
重连预算与图的规模成正比：K = p * |E|，其中 p ∈ {1%, 2%, 3%}。

实验结果

研究问题

RQ1图重连是否能在感知上造成比边添加/删除更小的对抗性影响？
RQ2在相同性能预算下，RL 学得的重连与现有的边添加/删除攻击在效果上有何差异？
RQ3重连对基于图拉普拉斯的性质及由此产生的 GCN 输出有何影响？
RQ4灵活预算（p * |E|）是否在不同图规模下提升攻击成功率？

主要发现

ReWatt 在 REDDIT-MULTI-12K、REDDIT-MULTI-5K 和 IMDB-MULTI 数据集上，在 K = 1、2、3、以及不同 p 值下的攻击成功率均优于 RL-S2V 和随机基线。
在 REDDIT-MULTI-12K 上，ReWatt 的成功率为 14.4%（K=1）到 38.7%（K=3）；在 REDDIT-MULTI-5K 上为 8.99% 到 23.3%；在 IMDB-MULTI 上根据设置不同为 23.0% 到 23.3%。
ReWatt-a（不带 2 跳约束）相较于 ReWatt 提升了性能，表明更大的灵活性可以带来更强的攻击，但可能导致更明显的变化。
灵活奖励设计（ReWatt-n）表现不及主 ReWatt 设置，突显了所提出奖励结构的优势。
攻击扰动显著改变了成功与失败攻击的图表示和对数输出，显示 RL 策略显著引导了重连。
ReWatt-Random 变体表明学习到的策略有助于提高效率，达到相似或更高的成功率只需要更少的重连动作。

更好的研究，从现在开始

从论文设计到论文写作，大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成，并经人工编辑审核。