Attacking Graph Neural Networks with Bit Flips: Weisfeiler and Lehman Go Indifferent

要約

グラフ ニューラル ネットワークに対するこれまでの攻撃は、主にグラフ ポイズニングと回避に焦点を当てており、ネットワークの重みとバイアスは無視されていました。
畳み込みニューラル ネットワークに使用されるビット フリップ攻撃など、従来の重みベースのフォールト インジェクション攻撃では、グラフ ニューラル ネットワークの固有の特性が考慮されていません。
私たちは、グラフ ニューラル ネットワーク専用に設計された初のビット フリップ攻撃である、Injectivity Bit Flip Attack を提案します。
私たちの攻撃は、量子化メッセージパッシングニューラルネットワークの学習可能な近傍集約関数をターゲットにしており、グラフ構造を区別する能力を低下させ、ヴァイスファイラー・レーマンテストの表現力を失います。
私たちの調査結果は、特定のグラフ ニューラル ネットワーク アーキテクチャに特有の数学的特性を悪用すると、ビット フリップ攻撃に対する脆弱性が大幅に高まる可能性があることを示唆しています。
単射性ビット フリップ攻撃は、ネットワークのビットのごく一部のみを反転することで、さまざまなグラフ プロパティ予測データセットでトレーニングされた最大限の表現力を持つグラフ同型ネットワークをランダム出力に劣化させることができ、畳み込みニューラル ネットワークから転送されたビット フリップ攻撃と比較して破壊力が高いことが実証されています。
私たちの攻撃は透明性があり、広範な実証結果によって確認された理論的洞察によって動機付けられています。

要約(オリジナル)

Prior attacks on graph neural networks have mostly focused on graph poisoning and evasion, neglecting the network’s weights and biases. Traditional weight-based fault injection attacks, such as bit flip attacks used for convolutional neural networks, do not consider the unique properties of graph neural networks. We propose the Injectivity Bit Flip Attack, the first bit flip attack designed specifically for graph neural networks. Our attack targets the learnable neighborhood aggregation functions in quantized message passing neural networks, degrading their ability to distinguish graph structures and losing the expressivity of the Weisfeiler-Lehman test. Our findings suggest that exploiting mathematical properties specific to certain graph neural network architectures can significantly increase their vulnerability to bit flip attacks. Injectivity Bit Flip Attacks can degrade the maximal expressive Graph Isomorphism Networks trained on various graph property prediction datasets to random output by flipping only a small fraction of the network’s bits, demonstrating its higher destructive power compared to a bit flip attack transferred from convolutional neural networks. Our attack is transparent and motivated by theoretical insights which are confirmed by extensive empirical results.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google