Quantifying the Noise of Structural Perturbations on Graph Adversarial Attacks

要約

グラフニューラルネットワークは、近隣のローカル情報を利用する際の強力な学習力のために、グラフ関連のタスクを解決するために広く利用されています。
しかし、グラフ敵対的攻撃に関する最近の研究は、現在のグラフニューラルネットワークが悪意のある攻撃に対して堅牢ではないことを証明しています。
しかし、既存の作業の多くは、（近い）最適な摂動を得るための攻撃パフォーマンスに基づいて最適化の目標に焦点を合わせていますが、特定のノード/リンクの注入など、各摂動の強度の定量化にあまり注意を払いませんでした。
この作業では、各敵のリンクの攻撃強度を定量化するためにノイズの概念を提案します。
さらに、単一および複数のステップの最適化の観点から、定義されたノイズと分類マージンに基づいて3つの攻撃戦略を提案します。
3つの代表的なグラフニューラルネットワークに対してベンチマークデータセットで実施された広範な実験は、提案された攻撃戦略の有効性を示しています。
特に、選択した摂動ノードの対応する特性を分析することにより、効果的な敵対的摂動の好ましいパターンも調査します。

要約(オリジナル)

Graph neural networks have been widely utilized to solve graph-related tasks because of their strong learning power in utilizing the local information of neighbors. However, recent studies on graph adversarial attacks have proven that current graph neural networks are not robust against malicious attacks. Yet much of the existing work has focused on the optimization objective based on attack performance to obtain (near) optimal perturbations, but paid less attention to the strength quantification of each perturbation such as the injection of a particular node/link, which makes the choice of perturbations a black-box model that lacks interpretability. In this work, we propose the concept of noise to quantify the attack strength of each adversarial link. Furthermore, we propose three attack strategies based on the defined noise and classification margins in terms of single and multiple steps optimization. Extensive experiments conducted on benchmark datasets against three representative graph neural networks demonstrate the effectiveness of the proposed attack strategies. Particularly, we also investigate the preferred patterns of effective adversarial perturbations by analyzing the corresponding properties of the selected perturbation nodes.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google