Link Stealing Attacks Against Inductive Graph Neural Networks

要約

グラフ ニューラル ネットワーク (GNN) は、グラフ構造のデータを処理するために特別に設計されたニューラル ネットワークの一種です。
通常、GNN は、変換設定と誘導設定を含む 2 つの設定で実装できます。
変換設定では、トレーニングされたモデルは、トレーニング時に観察されたノードのラベルのみを予測できます。
帰納的設定では、トレーニングされたモデルを新しいノード/グラフに一般化できます。
誘導設定はその柔軟性により、現在最も人気のある GNN 設定です。
これまでの研究では、トランスダクティブ GNN が一連のプライバシー攻撃に対して脆弱であることが示されています。
ただし、帰納的 GNN モデルの包括的なプライバシー分析はまだ不足しています。
この論文では、GNN 向けに特別に設計された最も一般的な攻撃の 1 つであるリンク盗用攻撃のレンズを通して、帰納的 GNN の体系的なプライバシー分析を実行することでギャップを埋めています。
我々は、後方のみの攻撃と複合攻撃という 2 種類のリンク盗用攻撃を提案します。
ノードトポロジに関する事後のみの攻撃と、事後、ノード属性、グラフ特徴の組み合わせを考慮した複合攻撃の脅威モデルを定義します。
6 つの現実世界のデータセットに対する広範な評価により、帰納的 GNN が有利な特性を備えたリンク窃盗攻撃を可能にする豊富な情報を漏洩することが実証されました。
グラフ構造に関する知識がない攻撃でも効果的である可能性があります。
また、さまざまなノードの類似性やさまざまなグラフの特徴に対して攻撃が堅牢であることも示します。
私たちはカウンターパートとして 2 つの可能な防御を調査し、それらが私たちの攻撃に対して効果がないことが判明したため、より効果的な防御が必要になります。

要約(オリジナル)

A graph neural network (GNN) is a type of neural network that is specifically designed to process graph-structured data. Typically, GNNs can be implemented in two settings, including the transductive setting and the inductive setting. In the transductive setting, the trained model can only predict the labels of nodes that were observed at the training time. In the inductive setting, the trained model can be generalized to new nodes/graphs. Due to its flexibility, the inductive setting is the most popular GNN setting at the moment. Previous work has shown that transductive GNNs are vulnerable to a series of privacy attacks. However, a comprehensive privacy analysis of inductive GNN models is still missing. This paper fills the gap by conducting a systematic privacy analysis of inductive GNNs through the lens of link stealing attacks, one of the most popular attacks that are specifically designed for GNNs. We propose two types of link stealing attacks, i.e., posterior-only attacks and combined attacks. We define threat models of the posterior-only attacks with respect to node topology and the combined attacks by considering combinations of posteriors, node attributes, and graph features. Extensive evaluation on six real-world datasets demonstrates that inductive GNNs leak rich information that enables link stealing attacks with advantageous properties. Even attacks with no knowledge about graph structures can be effective. We also show that our attacks are robust to different node similarities and different graph features. As a counterpart, we investigate two possible defenses and discover they are ineffective against our attacks, which calls for more effective defenses.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google