Skip to main content
QUICK REVIEW

[论文解读] Node Injection Attacks on Graphs via Reinforcement Learning

Yiwei Sun, Suhang Wang|arXiv (Cornell University)|Sep 14, 2019
Adversarial Robustness in Machine Learning参考文献 27被引用 31
一句话总结

本文提出NIPA,一种基于强化学习的图结构非目标节点注入攻击框架,通过战略性地注入具备优化特征和连接关系的对抗性节点,以降低节点分类性能。利用分层深度Q网络,NIPA在污染图分类器方面优于现有最先进方法,同时保持图结构统计特性不变。

ABSTRACT

Real-world graph applications, such as advertisements and product recommendations make profits based on accurately classify the label of the nodes. However, in such scenarios, there are high incentives for the adversaries to attack such graph to reduce the node classification performance. Previous work on graph adversarial attacks focus on modifying existing graph structures, which is infeasible in most real-world applications. In contrast, it is more practical to inject adversarial nodes into existing graphs, which can also potentially reduce the performance of the classifier. In this paper, we study the novel node injection poisoning attacks problem which aims to poison the graph. We describe a reinforcement learning based method, namely NIPA, to sequentially modify the adversarial information of the injected nodes. We report the results of experiments using several benchmark data sets that show the superior performance of the proposed method NIPA, relative to the existing state-of-the-art methods.

研究动机与目标

  • 解决现有图对抗攻击方法依赖修改现有边的问题,而此类修改在现实系统中往往不可行。
  • 开发一种实用的攻击策略,通过注入带有对抗性特征和标签的虚假节点来污染图分类器,而无需改变原始图结构。
  • 设计一种可扩展且高效的非目标图污染方法,通过保持关键图统计特性实现隐蔽性。
  • 研究攻击参数(如注入比例、节点度数和图稀疏度)对攻击效果的影响。

提出的方法

  • NIPA采用分层深度Q网络(HQN)将攻击建模为马尔可夫决策过程,实现节点注入的序列化决策。
  • 通过自定义奖励函数,联合优化注入节点的特征和连接结构,该函数对攻击成功率低和结构偏差高的情况施加惩罚。
  • 采用两阶段训练过程:首先,智能体学习将注入节点连接到现有节点;其次,学习分配对抗性标签以最大化误分类。
  • 奖励函数旨在平衡攻击有效性(以准确率下降衡量)与隐蔽性(以图统计特性与干净图的相似性衡量)。
  • 使用幂律指数、基尼系数和三角形计数等图统计量评估污染图的结构保真度。
  • 在基准数据集(CORA、CITESEER、PubMed)上,使用GCN和GAT分类器,在不同攻击预算和图稀疏度条件下评估该方法。

实验结果

研究问题

  • RQ1NIPA在不修改现有边的情况下,通过节点注入降低节点分类准确率的效果如何?
  • RQ2污染图在多大程度上保持了原始干净图的结构特性(如度分布、三角形计数)?
  • RQ3攻击参数(如注入比例和注入节点的平均度数)如何影响攻击性能?
  • RQ4图稀疏度如何影响节点注入攻击的有效性?

主要发现

  • 在CORA数据集上,注入比例为10%(r=0.1)时,NIPA将节点分类准确率降至0.6035 ± 0.0003,显著低于干净图基线的0.9263 ± 0.0010。
  • 在PubMed数据集上,r=0.1时,NIPA实现了2.1686 ± 0.0141的平均F1得分,攻击有效性优于现有方法。
  • 污染图与干净图保持高度结构相似性,幂律指数和基尼系数接近原始值,表明具备隐蔽性。
  • 随着注入节点的平均度数从3增至10,节点分类准确率急剧下降,证实连通性在攻击成功中的关键作用。
  • 在更稀疏的图中,NIPA的攻击效果增强,当移除90%边时,准确率下降更显著,原因在于邻域鲁棒性降低。
  • 随着注入比例提高,污染图中的三角形数量增加,表明NIPA能战略性地构建连通子图以放大影响。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。