Rethinking the Trigger-injecting Position in Graph Backdoor Attack

要約

タイトル：グラフバックドア攻撃におけるトリガー注入位置の再考

要約：

・バックドア攻撃は、機械学習モデルにとってセキュリティ上の脅威であることが示されている。

・従来のバックドア攻撃は、バックドアトリガーを持つ入力に対して異常な動作をするようなバックドア機能をモデルに注入することを意図している。

・グラフニューラルネットワーク（GNN）に対するバックドア攻撃については、既にいくつかの研究が存在するが、グラフドメインのバックドアトリガーはサンプルのランダムな位置に注入されることが多い。

・重要な領域または最も重要でない領域にトリガーを注入する戦略であるトリガー注入戦略MIASとLIASを分析し、攻撃のパフォーマンスを説明する研究はこれまで存在しなかった。

・結果として、一般的に、LIASの方が優れた攻撃パフォーマンスを示し、LIASとMIASのパフォーマンスの差は著しく大きい。

・加えて、解釈技術を用いてこれらの2つの戦略の類似（より良い）攻撃パフォーマンスを説明し、GNNにおけるバックドア攻撃に関するさらなる理解が得られた。

要約(オリジナル)

Backdoor attacks have been demonstrated as a security threat for machine learning models. Traditional backdoor attacks intend to inject backdoor functionality into the model such that the backdoored model will perform abnormally on inputs with predefined backdoor triggers and still retain state-of-the-art performance on the clean inputs. While there are already some works on backdoor attacks on Graph Neural Networks (GNNs), the backdoor trigger in the graph domain is mostly injected into random positions of the sample. There is no work analyzing and explaining the backdoor attack performance when injecting triggers into the most important or least important area in the sample, which we refer to as trigger-injecting strategies MIAS and LIAS, respectively. Our results show that, generally, LIAS performs better, and the differences between the LIAS and MIAS performance can be significant. Furthermore, we explain these two strategies’ similar (better) attack performance through explanation techniques, which results in a further understanding of backdoor attacks in GNNs.

arxiv情報

提供元, 利用サービス

arxiv.jp, OpenAI