要約
最近の研究により、グラフ ニューラル ネットワーク (GNN) は、グラフ構造を標的とする敵対的攻撃を受けやすいことが明らかになりました。
悪意のある攻撃者は、トレーニング ラベルが与えられると、限られた数のエッジを操作して、被害者モデルのパフォーマンスを損なう可能性があります。
以前の経験的研究は、勾配ベースの攻撃者がエッジを削除するのではなく追加する傾向があることを示しています。
この論文では、攻撃者がGNNのメッセージパッシングメカニズムによりクラス間エッジを増加させる傾向があることを明らかにする理論的デモンストレーションを提示し、以前の経験的観察を説明します。
異なるノードを接続することにより、攻撃者はノードの機能をより効果的に破壊し、そのような攻撃をより有利にします。
ただし、GNN のメッセージ パッシングの固有の滑らかさは、特徴空間内のノードの非類似性を曖昧にする傾向があり、転送プロセス中に重要な情報が失われることを示しています。
この問題に対処するために、ノードの非類似性情報を保持するマルチレベル伝播を使用した新しい代理モデルを提案します。
このモデルは、集約されていない生の特徴とマルチホップ集約された特徴の伝播を並列化し、バッチ正規化を導入してノード表現の非類似性を高め、トポロジー集約から生じる滑らかさを打ち消します。
私たちの実験では、私たちのアプローチで大幅な改善が見られました。
攻撃の有効性と知覚不能性のバランスをとる革新的な攻撃損失を提案し、攻撃の有効性を犠牲にしてより大きな知覚不能性を達成します。
また、この攻撃損失によって達成された侵害パフォーマンスを検証するための実験も提供します。
要約(オリジナル)
Recent research has revealed that Graph Neural Networks (GNNs) are susceptible to adversarial attacks targeting the graph structure. A malicious attacker can manipulate a limited number of edges, given the training labels, to impair the victim model’s performance. Previous empirical studies indicate that gradient-based attackers tend to add edges rather than remove them. In this paper, we present a theoretical demonstration revealing that attackers tend to increase inter-class edges due to the message passing mechanism of GNNs, which explains some previous empirical observations. By connecting dissimilar nodes, attackers can more effectively corrupt node features, making such attacks more advantageous. However, we demonstrate that the inherent smoothness of GNN’s message passing tends to blur node dissimilarity in the feature space, leading to the loss of crucial information during the forward process. To address this issue, we propose a novel surrogate model with multi-level propagation that preserves the node dissimilarity information. This model parallelizes the propagation of unaggregated raw features and multi-hop aggregated features, while introducing batch normalization to enhance the dissimilarity in node representations and counteract the smoothness resulting from topological aggregation. Our experiments show significant improvement with our approach.Furthermore, both theoretical and experimental evidence suggest that adding inter-class edges constitutes an easily observable attack pattern. We propose an innovative attack loss that balances attack effectiveness and imperceptibility, sacrificing some attack effectiveness to attain greater imperceptibility. We also provide experiments to validate the compromise performance achieved through this attack loss.
arxiv情報
著者 | Zihan Liu,Ge Wang,Yun Luo,Stan Z. Li |
発行日 | 2023-03-29 12:19:49+00:00 |
arxivサイト | arxiv_id(pdf) |
提供元, 利用サービス
arxiv.jp, Google