Graph Agent Network: Empowering Nodes with Inference Capabilities for Adversarial Resilience

要約

グローバル最適化によるエンドツーエンドのトレーニングにより、ノード分類のためのグラフ ニューラル ネットワーク (GNN) が普及しましたが、敵対的なエッジ摂動攻撃に対する脆弱性が誤って導入されてしまいました。
攻撃者は、GNN の入力と出力の固有のオープン インターフェイスを悪用し、クリティカル エッジを混乱させ、分類結果を操作する可能性があります。
現在の防御は、グローバル最適化ベースのエンドツーエンドのトレーニング スキームを継続的に利用しているため、本質的に GNN の脆弱性をカプセル化しています。
これは、標的型二次攻撃を防御できないことから特に証明されています。
この論文では、前述の GNN の脆弱性に対処するための Graph Agent Network (GAgN) を提案します。
GAgN は、各ノードが 1 ホップ ビュー エージェントとして設計されたグラフ構造のエージェント ネットワークです。
エージェント間の分散型対話を通じて、エージェントは、特定のノードのエンベディング、次数、隣接関係の推論などのタスクを実行するためのグローバルな認識を推論する方法を学習できます。
これにより、ノードは分類タスクを実行しながら敵対的なエッジをフィルタリングできるようになります。
さらに、エージェントのビューが制限されているため、悪意のあるメッセージが GAgN 内でグローバルに伝播することが防止され、グローバル最適化ベースの二次攻撃に対抗できます。
これらの機能を実現するには、理論的には単一隠れ層の多層パーセプトロン (MLP) で十分であることを証明します。
実験結果は、GAgN が意図したすべての機能を効果的に実装し、最先端の防御と比較して、摂動されたデータセットに対して最適な分類精度を達成することを示しています。

要約(オリジナル)

End-to-end training with global optimization have popularized graph neural networks (GNNs) for node classification, yet inadvertently introduced vulnerabilities to adversarial edge-perturbing attacks. Adversaries can exploit the inherent opened interfaces of GNNs’ input and output, perturbing critical edges and thus manipulating the classification results. Current defenses, due to their persistent utilization of global-optimization-based end-to-end training schemes, inherently encapsulate the vulnerabilities of GNNs. This is specifically evidenced in their inability to defend against targeted secondary attacks. In this paper, we propose the Graph Agent Network (GAgN) to address the aforementioned vulnerabilities of GNNs. GAgN is a graph-structured agent network in which each node is designed as an 1-hop-view agent. Through the decentralized interactions between agents, they can learn to infer global perceptions to perform tasks including inferring embeddings, degrees and neighbor relationships for given nodes. This empowers nodes to filtering adversarial edges while carrying out classification tasks. Furthermore, agents’ limited view prevents malicious messages from propagating globally in GAgN, thereby resisting global-optimization-based secondary attacks. We prove that single-hidden-layer multilayer perceptrons (MLPs) are theoretically sufficient to achieve these functionalities. Experimental results show that GAgN effectively implements all its intended capabilities and, compared to state-of-the-art defenses, achieves optimal classification accuracy on the perturbed datasets.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google