Crossfire: An Elastic Defense Framework for Graph Neural Networks Under Bit Flip Attacks

要約

ビットフリップ攻撃（BFA）は、コンピュータービジョンドメイン内の畳み込みニューラルネットワーク向けに開発された敵対的な攻撃の確立されたクラスです。
最近では、これらの攻撃がグラフニューラルネットワーク（GNNS）をターゲットにするために拡張され、大きな脆弱性が明らかになりました。
この新しい開発は、GNNをBFAに対して防御するための最良の戦略に関する疑問を自然に提起します。これは、ソリューションが現在存在しない課題です。
重要な分野でのGNNのアプリケーションを考えると、防御メカニズムはネットワークのパフォーマンスを維持するだけでなく、ネットワークをその攻撃前状態に検証する必要があります。
ネットワークを攻撃前の状態に検証可能に復元すると、ネットワークの品質を確保するために、テストデータの費用のかかる評価の必要性も排除されます。
コンピュータービジョンドメインからGNNSに適合したBFAに対する既存のハニーポットおよびハッシュベースの防御の有効性に関する最初の洞察を提供し、これらのアプローチの欠点を特徴付けます。
それらの制限を克服するために、私たちは、重量のスパースを悪用し、ハッシュとハニーポットを分散型の重量要素のビットレベルの修正と組み合わせてネットワークの完全性を回復するハイブリッドアプローチであるCrossfireを提案します。
Crossfireは再訓練されておらず、ラベル付きデータを必要としません。
6つのベンチマークデータセットでの平均2,160を超える実験で、Crossfireは、BFAによって攻撃されたGNNを攻撃前状態に再構築する競合他社よりも21.8％高い確率を提供します。
これらの実験では、さまざまな攻撃から最大55ビットのフリップをカバーしています。
さらに、修復後の予測の質が10.85％向上します。
計算およびストレージのオーバーヘッドは、最も単純なGNNの固有の複雑さと比較して無視できます。

要約(オリジナル)

Bit Flip Attacks (BFAs) are a well-established class of adversarial attacks, originally developed for Convolutional Neural Networks within the computer vision domain. Most recently, these attacks have been extended to target Graph Neural Networks (GNNs), revealing significant vulnerabilities. This new development naturally raises questions about the best strategies to defend GNNs against BFAs, a challenge for which no solutions currently exist. Given the applications of GNNs in critical fields, any defense mechanism must not only maintain network performance, but also verifiably restore the network to its pre-attack state. Verifiably restoring the network to its pre-attack state also eliminates the need for costly evaluations on test data to ensure network quality. We offer first insights into the effectiveness of existing honeypot- and hashing-based defenses against BFAs adapted from the computer vision domain to GNNs, and characterize the shortcomings of these approaches. To overcome their limitations, we propose Crossfire, a hybrid approach that exploits weight sparsity and combines hashing and honeypots with bit-level correction of out-of-distribution weight elements to restore network integrity. Crossfire is retraining-free and does not require labeled data. Averaged over 2,160 experiments on six benchmark datasets, Crossfire offers a 21.8% higher probability than its competitors of reconstructing a GNN attacked by a BFA to its pre-attack state. These experiments cover up to 55 bit flips from various attacks. Moreover, it improves post-repair prediction quality by 10.85%. Computational and storage overheads are negligible compared to the inherent complexity of even the simplest GNNs.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google