Skip to main content
QUICK REVIEW

[论文解读] Link Prediction Adversarial Attack

Jinyin Chen, Ziqiang Shi|arXiv (Cornell University)|Oct 2, 2018
Advanced Graph Neural Networks参考文献 37被引用 23
一句话总结

本文提出了链接预测对抗攻击的首个形式化定义与框架,提出一种基于训练图自编码器(GAE)中梯度优化的迭代梯度攻击(IGA)。IGA通过仅扰动少数链接,即可有效欺骗基于深度学习的(如GAE、DeepWalk、node2vec)及经典相似度方法,对GAE的成功率超过60%,在局部随机游走等方法上甚至达到100%的成功率,且扰动极小。

ABSTRACT

Deep neural network has shown remarkable performance in solving computer vision and some graph evolved tasks, such as node classification and link prediction. However, the vulnerability of deep model has also been revealed by carefully designed adversarial examples generated by various adversarial attack methods. With the wider application of deep model in complex network analysis, in this paper we define and formulate the link prediction adversarial attack problem and put forward a novel iterative gradient attack (IGA) based on the gradient information in trained graph auto-encoder (GAE). To our best knowledge, it is the first time link prediction adversarial attack problem is defined and attack method is brought up. Not surprisingly, GAE was easily fooled by adversarial network with only a few links perturbed on the clean network. By conducting comprehensive experiments on different real-world data sets, we can conclude that most deep model based and other state-of-art link prediction algorithms cannot escape the adversarial attack just like GAE. We can benefit the attack as an efficient privacy protection tool from link prediction unknown violation, on the other hand, link prediction attack can be a robustness evaluation metric for current link prediction algorithm in attack defensibility.

研究动机与目标

  • 定义并形式化链接预测对抗攻击问题,该问题此前未被系统研究过。
  • 开发一种基于梯度的攻击方法(IGA),利用模型梯度在图结构上生成有效的对抗性扰动。
  • 评估各类链接预测模型——包括深度学习与经典相似度方法——在对抗攻击下的鲁棒性。
  • 探索对抗攻击的双重用途:作为隐私保护工具,以及作为链接预测算法鲁棒性评估指标。

提出的方法

  • 提出一种迭代梯度攻击(IGA),通过迭代更新邻接矩阵,利用损失函数对输入图的梯度计算对抗性扰动。
  • 训练图自编码器(GAE)作为链接预测的目标模型,利用其学习到的节点表示计算梯度以生成攻击。
  • 在白盒设置下应用IGA,攻击者可完全访问模型参数与梯度,以优化链接扰动。
  • 在多个真实网络(NS、Facebook、Yeast)中,将IGA与基线攻击方法(如梯度攻击GA、DICE、随机扰动RAND)进行比较。
  • 将攻击限制为单节点或无节点数限制的修改,以研究攻击范围对成功率的影响。
  • 可视化不同链接预测方法与网络类型下的攻击效果,分析性能趋势。

实验结果

研究问题

  • RQ1能否通过图结构上的对抗性扰动有效攻击链接预测模型,特别是基于深度学习的模型(如GAE)?
  • RQ2所提出的IGA在多种链接预测算法上的表现与现有攻击方法(如DICE、GA)相比如何?
  • RQ3扰动规模与目标节点度数对攻击成功率有何影响?
  • RQ4为何单节点攻击在约束更严格的情况下仍优于无限制节点攻击?
  • RQ5经典相似度方法(如局部随机游走)相较于深度学习模型,在对抗攻击下有多强的鲁棒性?

主要发现

  • IGA在GAE上的攻击成功率高达60%,显著优于GA与DICE,尤其在低扰动条件下表现更优。
  • 在局部随机游走方法上,IGA仅需在Yeast网络中修改3–4个链接即实现100%攻击成功率,表明基于相似度的方法高度易受攻击。
  • 单节点攻击优于无限制节点攻击,在NS数据集的DeepWalk与node2vec上均实现接近100%的成功率,表明聚焦扰动更具有效性。
  • 对于低度数链接(2–3),IGA在Yeast中仅修改3个链接即实现33.93%的攻击成功率,凸显低度数节点的脆弱性。
  • 在NS与Yeast数据集上,IGA对深度学习模型(GAE、DeepWalk、node2vec)的攻击成功率始终高于GA与DICE,尤其在扰动率低于50%时表现更优。
  • 在密集的Facebook网络中,当扰动超过50%时,DICE优于IGA,表明在大型密集图中,长程链接添加更具优势。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。