A semantic backdoor attack against Graph Convolutional Networks

要約

グラフ畳み込みネットワーク (GCN) は、ノード分類やグラフ分類など、さまざまなグラフ構造の関連タスクの問題に対処するのに非常に効果的です。
しかし、最近の研究では、GCN がバックドア攻撃と呼ばれる新しいタイプの脅威に対して脆弱であることが示されています。この攻撃では、攻撃者は隠れたバックドアを GCN に挿入して、攻撃されたモデルが良性のサンプルに対して適切に動作するようにしますが、その予測は悪意を持って変更されます。
隠れたバックドアが攻撃者が定義したトリガーによってアクティブ化された場合、攻撃者が指定したターゲット ラベル。
この論文では、そのようなセマンティック バックドア攻撃が GCN に対して可能であるかどうかを調査し、グラフ分類のコンテキストの下で GCN に対するセマンティック バックドア攻撃 (SBAG) を提案して、GCN におけるこのセキュリティ脆弱性の存在を明らかにします。
SBAG は、サンプル内の特定のタイプのノードをバックドア トリガーとして使用し、トレーニング データをポイズニングすることで GCN モデルに隠されたバックドアを挿入します。
バックドアがアクティブになり、GCN モデルは、サンプルに十分なトリガー ノードが含まれている限り、未変更のサンプルであっても攻撃者が指定した悪意のある分類結果を与えます。
4 つのグラフ データセットで SBAG を評価します。
実験結果は、SBAG が 2 種類の攻撃サンプルに対してそれぞれ約 99.9% と 82% 以上の攻撃成功率を達成でき、ポイズニング率は 5% 未満であることを示しています。

要約(オリジナル)

Graph convolutional networks (GCNs) have been very effective in addressing the issue of various graph-structured related tasks, such as node classification and graph classification. However, recent research has shown that GCNs are vulnerable to a new type of threat called a backdoor attack, where the adversary can inject a hidden backdoor into GCNs so that the attacked model performs well on benign samples, but its prediction will be maliciously changed to the attacker-specified target label if the hidden backdoor is activated by the attacker-defined trigger. In this paper, we investigate whether such semantic backdoor attacks are possible for GCNs and propose a semantic backdoor attack against GCNs (SBAG) under the context of graph classification to reveal the existence of this security vulnerability in GCNs. SBAG uses a certain type of node in the samples as a backdoor trigger and injects a hidden backdoor into GCN models by poisoning training data. The backdoor will be activated, and the GCN models will give malicious classification results specified by the attacker even on unmodified samples as long as the samples contain enough trigger nodes. We evaluate SBAG on four graph datasets. The experimental results indicate that SBAG can achieve attack success rates of approximately 99.9% and over 82% for two kinds of attack samples, respectively, with poisoning rates of less than 5%.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google