Single Node Injection Label Specificity Attack on Graph Neural Networks via Reinforcement Learning

要約

タイトル：強化学習による単一ノードの注入ラベル特異性攻撃によるグラフニューラルネットワークの攻撃

要約：
– GNNは様々な現実世界のアプリケーションで顕著な成功を収めているが、最近の研究ではGNNの脆弱性が指摘されている。
– 既存の攻撃手法は、グラフの変更や既存のグラフにノードを挿入するなどの方法を用いているが、いくつかの制限もある。
– GMAは元のグラフの操作が必要であり、実際には不可能なことが多い。GIAでは、ブラックボックス設定でサロゲートモデルのトレーニングが必要であり、サロゲートアーキテクチャと実際の被害モデルとの間の発散により、性能が大幅に低下する。
– 多くの方法が単一の攻撃目標に集中し、異なる目標のための異なる攻撃戦略を開発するための汎用的な敵対者が不足しているため、実世界のシナリオで被害モデルの振る舞いを正確に制御することが制限されている。
– これらの問題に対処するために、我々は、ブラックボックス回避設定で単一の悪意のあるノードを注入してターゲットノードの分類結果を操作する勾配なしの汎用的な敵対者を提案する。このために、Proximal Policy Optimizationを採用する勾配なしの汎用的なシングルノードインジェクション攻撃、G$^2$-SNIAを提案する。
– G$^2$-SNIAは、被害者モデルに直接クエリを送信することで、極めて限られた攻撃予算で様々な攻撃目標を達成するための探索からパターンを学習する強化学習フレームワークである。3つの公認ベンチマークデータセットと4つの有名なGNNに対する包括的な実験を通じて、最も厳しい現実的なシナリオで既存の最先端のベースラインに比べて、我々の提案するG$^2$-SNIAの優れた性能を示す。さらに、複数のホワイトボックス回避ベースラインとG$^2$-SNIAを比較することで、最高の敵対者と同等の解決策を生成する能力を確認した。

要約(オリジナル)

Graph neural networks (GNNs) have achieved remarkable success in various real-world applications. However, recent studies highlight the vulnerability of GNNs to malicious perturbations. Previous adversaries primarily focus on graph modifications or node injections to existing graphs, yielding promising results but with notable limitations. Graph modification attack~(GMA) requires manipulation of the original graph, which is often impractical, while graph injection attack~(GIA) necessitates training a surrogate model in the black-box setting, leading to significant performance degradation due to divergence between the surrogate architecture and the actual victim model. Furthermore, most methods concentrate on a single attack goal and lack a generalizable adversary to develop distinct attack strategies for diverse goals, thus limiting precise control over victim model behavior in real-world scenarios. To address these issues, we present a gradient-free generalizable adversary that injects a single malicious node to manipulate the classification result of a target node in the black-box evasion setting. We propose Gradient-free Generalizable Single Node Injection Attack, namely G$^2$-SNIA, a reinforcement learning framework employing Proximal Policy Optimization. By directly querying the victim model, G$^2$-SNIA learns patterns from exploration to achieve diverse attack goals with extremely limited attack budgets. Through comprehensive experiments over three acknowledged benchmark datasets and four prominent GNNs in the most challenging and realistic scenario, we demonstrate the superior performance of our proposed G$^2$-SNIA over the existing state-of-the-art baselines. Moreover, by comparing G$^2$-SNIA with multiple white-box evasion baselines, we confirm its capacity to generate solutions comparable to those of the best adversaries.

arxiv情報

提供元, 利用サービス

arxiv.jp, OpenAI