arXiv reaDer
理論的保証を備えたグラフニューラルネットワークへの構造摂動ベースのブラックボックス攻撃の盗賊
Bandits for Structure Perturbation-based Black-box Attacks to Graph Neural Networks with Theoretical Guarantees
グラフニューラルネットワーク(GNN)は、ノード分類やグラフ分類などの多くのグラフベースのタスクで最先端のパフォーマンスを実現しています。ただし、最近の多くの研究では、攻撃者がグラフ構造をわずかに混乱させることにより、GNNモデルを誤解させる可能性があることが示されています。 GNNに対する既存の攻撃は、攻撃者がGNNモデルパラメータにアクセスすると想定される実用性の低い脅威モデルか、実用的なブラックボックス脅威モデルのいずれかですが、十分に効果的ではないことが示されているノード機能の混乱を考慮します。このホワイトペーパーでは、このギャップを埋め、構造の摂動と理論的な保証を備えたGNNへのブラックボックス攻撃を検討します。私たちは、盗賊の技術を通じてこの課題に取り組むことを提案します。具体的には、盗賊のフィードバックを伴うオンライン最適化として攻撃を定式化します。この元の問題は、グラフ構造の摂動がバイナリ最適化問題であるため、本質的にNP困難です。次に、バンディット最適化に基づくオンライン攻撃を提案します。これは、クエリ番号T、つまりO(NT ^ 3/4)に対して劣線形であることが証明されています。ここで、Nはグラフ内のノード数です。最後に、複数のデータセットとGNNモデルに対して実験を行うことにより、提案された攻撃を評価します。さまざまな引用グラフと画像グラフの実験結果は、私たちの攻撃が効果的かつ効率的であることを示しています。ソースコードは〜https://github.com/Metaoblivion/Bandit_GNN_Attackで入手できます。
Graph neural networks (GNNs) have achieved state-of-the-art performance in many graph-based tasks such as node classification and graph classification. However, many recent works have demonstrated that an attacker can mislead GNN models by slightly perturbing the graph structure. Existing attacks to GNNs are either under the less practical threat model where the attacker is assumed to access the GNN model parameters, or under the practical black-box threat model but consider perturbing node features that are shown to be not enough effective. In this paper, we aim to bridge this gap and consider black-box attacks to GNNs with structure perturbation as well as with theoretical guarantees. We propose to address this challenge through bandit techniques. Specifically, we formulate our attack as an online optimization with bandit feedback. This original problem is essentially NP-hard due to the fact that perturbing the graph structure is a binary optimization problem. We then propose an online attack based on bandit optimization which is proven to be sublinear to the query number T, i.e., O(NT^3/4) where N is the number of nodes in the graph. Finally, we evaluate our proposed attack by conducting experiments over multiple datasets and GNN models. The experimental results on various citation graphs and image graphs show that our attack is both effective and efficient. Source code is available at~https://github.com/Metaoblivion/Bandit_GNN_Attack
updated: Sat May 07 2022 04:17:25 GMT+0000 (UTC)
published: Sat May 07 2022 04:17:25 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト