Model Stealing Attack against Graph Classification with Authenticity, Uncertainty and Diversity

要約

最近の研究では、GNN がモデル窃取攻撃に対して脆弱であることが実証されています。この攻撃は、クエリ権限を介してターゲット モデルを複製することを目的とした悪質な攻撃です。
ただし、これらは主にノード分類タスクに重点を置き、グラフ分類タスクのドメイン内に伴う潜在的な脅威を無視しています。
さらに、特に大規模なデータ要件と広範なモデル知識に関する不合理な仮定により、その実用性には疑問があります。
この目的を達成するために、実際のデータを制限し、ハードラベル認識を使用して合成データを生成する厳密な設定に従うことを推奨します。これにより、ターゲット モデルの盗用が容易になります。
具体的には、重要なデータ生成原則に従って、さまざまな実際のシナリオに適応するために 3 つのモデル窃取攻撃を導入します。MSA-AU はアクティブ ラーニングに触発され、生成されたサンプルのクエリ値を高めるために不確実性を強調します。
MSA-AD は、MSA-AU によって生成された過度に類似したサンプルによって引き起こされるクエリの非効率性の問題を軽減するために、Mixup 拡張戦略に基づいた多様性を導入します。
MSA-AUD は、上記の 2 つの戦略を組み合わせて、生成されたサンプルの信頼性、不確実性、多様性をシームレスに統合します。
最後に、広範な実験により、隠蔽性、クエリ効率、および盗用パフォーマンスの点で提案された方法の優位性が一貫して実証されています。

要約(オリジナル)

Recent research demonstrates that GNNs are vulnerable to the model stealing attack, a nefarious endeavor geared towards duplicating the target model via query permissions. However, they mainly focus on node classification tasks, neglecting the potential threats entailed within the domain of graph classification tasks. Furthermore, their practicality is questionable due to unreasonable assumptions, specifically concerning the large data requirements and extensive model knowledge. To this end, we advocate following strict settings with limited real data and hard-label awareness to generate synthetic data, thereby facilitating the stealing of the target model. Specifically, following important data generation principles, we introduce three model stealing attacks to adapt to different actual scenarios: MSA-AU is inspired by active learning and emphasizes the uncertainty to enhance query value of generated samples; MSA-AD introduces diversity based on Mixup augmentation strategy to alleviate the query inefficiency issue caused by over-similar samples generated by MSA-AU; MSA-AUD combines the above two strategies to seamlessly integrate the authenticity, uncertainty, and diversity of the generated samples. Finally, extensive experiments consistently demonstrate the superiority of the proposed methods in terms of concealment, query efficiency, and stealing performance.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google