CIKM2021《Single Node Injection Attack against Graph Neural Networks》论文详解

本文链接：https://blog.csdn.net/Fiercecoding/article/details/123786327

本文介绍了一种新兴的图神经网络攻击方法——单节点注入evasion攻击。通过仅注入单个恶意节点而非修改原有节点或边，该攻击方法能有效影响GNN的性能。文中提出了一种基于优化的方法OPTI来探讨攻击性能上限，并进一步提出了一种高效的可泛化节点注入攻击模型G-NIA。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

原文链接：https://arxiv.org/pdf/2108.13049.pdf

evasion attack

1 Abstract and Introduction

图神经网络节点注入攻击是一种新兴而实用的攻击场景，攻击者通过注入恶意节点而不是修改原始节点或边来影响图神经网络的性能。本文关注的是一个非常有限的单节点注入 evasion attack 场景，即攻击者在测试阶段只被允许注入单个节点来伤害 GNN 的性能。网络结构的离散性以及网络结构与节点特征之间的耦合效应给这种极其有限的场景带来了极大的挑战。本文首先提出了一种基于优化的方法来探讨单节点注入 evasion 攻击的性能上限。然而，这种基于优化的方法需要对每次攻击进行重新优化，这在计算上是无法承受的。为了解决这一难题，进一步提出了一个可泛化节点注入攻击模型 G-NIA，在保证攻击性能的同时提高攻击效率。

现有的节点注入攻击忽略了非常有限的对抗攻击场景，即注入的节点可能过多以至于被目标受害系统或目标节点都能感知或检测到。此外，现有的节点注入攻击一般集中在 poisoning 场景，即假设目标 GNN 对注入的带标签的恶意节点进行训练/再训练。这种假设很难在实际场景中得到满足，因为我们可能不知道目标受害者系统的标签标准。

单节点注入规避（evasion）攻击具有检测难度大、成本低等优点。其关键是将恶意属性随网络结构的变化传播到适当的节点。

本文首先提出了一种基于优化的方法，即 OPTI，来探讨单节点注入 evasion 攻击的性能上限。然而，每次攻击都需要对 OPTI 进行重新优化，这在计算上是无法承受的。此外，每次优化过程中学习到的信息都被丢弃了，阻碍了注入攻击的泛化。

为了解决这一难题，本文进一步提出了一个可泛化节点注入攻击模型 G-NIA，在保证攻击性能的同时提高攻击效率。G-NIA 也通过使用 Gumbel-Top-k 来像 OPTI 一样生成离散边，并通过一个复杂的设计模型捕捉网络结构和节点特征之间的耦合效应。与 OPTI 相比，G-NIA在以下两个方面具有优势。一是表现能力。G-NIA 通过联合建模明确地为最关键的特征传播建模。具体来说，利用恶意属性来指导边的生成，更好地建模属性和边的影响。二是效率高。G-NIA 采用了基于模型的框架，在模型训练过程中利用了攻击的有用信息，在推理过程中无需重新优化，节省了大量的计算成本。

本文方案的主要优点：

（1）Effectiveness：当只注入一个节点和一条边时，OPTI 可以在社会网络，共同购买网络和引文网络上实现100%，98.60%， 94.98%的成功攻击。G-NIA 可以在推理过程中获得相当的结果，而无需像 OPTI 那样进行重新优化。在这三个数据集上，这两种方法都明显优于目前最先进的方法。

（2）Efficiency：G-NIA 在推理阶段的速度大约比 OPTI 快500倍。

（3）Flexibility：为了证明本文所提出的 G-NIA 模型的有效性，在两种场景下，在三种著名的 GNN 模型上对三种网络数据集进行了大量的实验。此外，G-NIA 还可以在黑盒场景中使用。

2 Related Work

此前有一些在原图上进行修改的方法。但在现实世界中，由于无法访问存储图数据的数据库，修改现有的边或属性是棘手的。节点注入攻击关注的是一种更实际的场景，它只注入一些恶意节点，而不修改已有的图。此前的的研究主要集中在节点注入 poisoning 攻击上，存在一些在 evasion 攻击场景中不可忽视的问题。目前还缺乏一种同时考虑注入节点属性和结构的有效方法。