Rethinking Graph Backdoor Attacks: A Distribution-Preserving Perspective

要約

グラフ ニューラル ネットワーク (GNN) は、さまざまなタスクで顕著なパフォーマンスを示しています。
しかし、最近の研究では、GNN がバックドア攻撃に対して脆弱であることが明らかになりました。
一般に、バックドア攻撃は、バックドア トリガーとターゲット クラス ラベルをトレーニング グラフ内のノードのセットにアタッチすることによってグラフを汚染します。
ポイズニングされたグラフでトレーニングされた GNN は、ターゲット クラスにトリガーでアタッチされたテスト ノードを予測するように誤解されます。
有効性にもかかわらず、私たちの実証分析では、既存の方法によって生成されたトリガーは分布外 (OOD) になる傾向があり、クリーンなデータとは大きく異なることが示されています。
したがって、これらの挿入されたトリガーは、現実世界のアプリケーションで広く使用されている外れ値検出方法を使用して簡単に検出および除去できます。
したがって、この論文では、ディストリビューション内 (ID) トリガーによる目立たないグラフ バックドア攻撃という新しい問題を研究します。
ID トリガーを生成するために、敵対的学習戦略と組み合わせて OOD 検出器を導入し、ディストリビューション内でトリガーの属性を生成します。
ID トリガーによる高い攻撃成功率を確保するために、ポイズニング グラフでトレーニングされた被害者モデルによるトリガーの記憶を強化するように設計された新しいモジュールを導入します。
実世界のデータセットに対する広範な実験により、高い攻撃成功率を維持しながらさまざまな防御戦略を回避できる分散トリガーを生成する際の、提案された方法の有効性が実証されました。

要約(オリジナル)

Graph Neural Networks (GNNs) have shown remarkable performance in various tasks. However, recent works reveal that GNNs are vulnerable to backdoor attacks. Generally, backdoor attack poisons the graph by attaching backdoor triggers and the target class label to a set of nodes in the training graph. A GNN trained on the poisoned graph will then be misled to predict test nodes attached with trigger to the target class. Despite their effectiveness, our empirical analysis shows that triggers generated by existing methods tend to be out-of-distribution (OOD), which significantly differ from the clean data. Hence, these injected triggers can be easily detected and pruned with widely used outlier detection methods in real-world applications. Therefore, in this paper, we study a novel problem of unnoticeable graph backdoor attacks with in-distribution (ID) triggers. To generate ID triggers, we introduce an OOD detector in conjunction with an adversarial learning strategy to generate the attributes of the triggers within distribution. To ensure a high attack success rate with ID triggers, we introduce novel modules designed to enhance trigger memorization by the victim model trained on poisoned graph. Extensive experiments on real-world datasets demonstrate the effectiveness of the proposed method in generating in distribution triggers that can by-pass various defense strategies while maintaining a high attack success rate.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google