Graph Universal Adversarial Attacks: A Few Bad Actors Ruin Graph Learning Models

背景

深度神經網絡對對抗擾動極其敏感，導致模型性能下降。

本工作從一個不同的角度發現：如果圖中包含了幾個bad-actor node，它們通過翻轉和任何target victim 的連接，就可以損壞一個訓練好的圖神經網絡，并且這種攻擊是可以轉移到其他模型的。

模型

攻擊target node的時候，錨節點與target node之間的連接會被反轉：

• 有連接的刪除邊
• 沒連接的創建邊

universal attack的優點：

• 錨節點只計算一次，沒有多余的cost
• 錨節點的數量很少
• 當只有有限數量的連接被反轉的時候，攻擊就不明顯了

無權重、無向圖

使用GCN作為一個attack example（在DeepWalk、node2vec、LINE上也適用）

n個節點，使用一個長度為n的二維向量，值為1的代表了anchor node
$$?$$
nxn的矩陣P，i行j列元素(i, j)為1，代表節點i和j之間的連接被反轉。（對角線仍然為0）

攻擊向量p的二進制元素被放寬為0-1的連續變量，除了anchor node j和target node i的節點之間的連接全部保持不變，（i，j）之間的連接將部分改變（不是0->1或1->0，而是改變一點點）

p的第j個元素代表了改變的強度，這樣的放寬策略也利于基于梯度的優化方法。

Outer Procedure：GUA

attack success rate（ASR） threshold $\delta$

$V_L$：代表訓練集中已知標簽的節點。

為了利用基于梯度的方法，將p放寬為[0,1]，將p初始化為0

在每個epoch，從一個二進制的p開始，迭代的訪問每個訓練節點i。

如果i沒有被現在的p誤分類，就找一個最小化的連續擾動$\Delta P$來誤分類它：（后續IMP算法）

這一個epoch在遍歷結束的節點后，clip p，將其變為二進制向量，進入下一個epoch。。。。。。

---

Inner procedure： IMP

公式7限制的原因在于：

• 避免出現過多的錨節點（L2正則化）
• 避免元素值超過[0, 1]（clip）

為了解決公式7，采用DeepFool（前人方法）來找到一個最小擾動，將節點i推到另外一個class的分類邊界。

v代表最小擾動，找到最近的決策邊界對應的class

將$\Delta v$加到v上，來更新v

不斷更新v，直到$(1+overshoot)\times v$成功地攻擊了節點i

總結

以上是生活随笔為你收集整理的【Paper-Attack】Graph Universal Adversarial Attacks: A Few Bad Actors Ruin Graph Learning Models的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。