Bandits for Structure Perturbation-based Black-box Attacks to Graph Neural Networks with Theoretical

最新推荐文章于 2024-10-04 05:48:08 发布

你今天论文了吗

最新推荐文章于 2024-10-04 05:48:08 发布

阅读量187

点赞数

分类专栏：对抗攻击文章标签：深度学习神经网络人工智能

本文链接：https://blog.csdn.net/weixin_49171105/article/details/126310600

版权

对抗攻击专栏收录该内容

47 篇文章 28 订阅

订阅专栏

Bandits for Structure Perturbation-based Black-box Attacks to Graph Neural Networks with Theoretical Guarantees（具有理论保证的基于结构扰动的图神经网络黑盒攻击的强盗算法）

本文研究了具有结构扰动的GNN的软标签黑盒攻击问题，但这种新的攻击设置更具有挑战性，本文寻找最优结构扰动本质上是一个NP-hard问题（就是二元优化问题），攻击者只能通过查询模型来获得预测。

具体实现：

第一步是在理论保证下解决基于结构扰动的gnn黑盒攻击问题。具体来说，我们首先将攻击重新定义为一个强盗优化(即强盗反馈在线优化)问题，该问题描述了攻击者在黑盒GNN模型上的查询过程，并捕获了未知梯度。
然后，我们处理离散结构扰动的二元约束，并将其集成到基于土匪的攻击目标中。
接下来，我们设计了一种高效有效的对gnn的在线攻击。
最后，我们从理论上分析我们的攻击。

Preliminaries and Problem Formulation

Problem formulation

目标节点v，标签 $y_{v}$ ,邻接向量 $a_{v}$ .是v上的对抗性结构扰动。定义v的扰动邻接向量为：Cvu是修改v和u之间连接状态的代价。设L(av)为目标节点v未受攻击时的损失函数，对于对抗扰动sv，攻击损失为L(av⊕sv)。

本文采用CW攻击损失函数，攻击置信度是k。具体定义为：

基于结构扰动的黑盒攻击GNN问题可以表述为：

其中，第一个约束意味着要扰动的边数不超过B，第二个约束意味着扰动的总代价不超过C

引理1：公式3是一个NP-hard问题

引理1也表明，在多项式时间内计算大图（即 $s_{v}$ 具有较大的维数时)下的最优扰动向量 $s^{*}_{v}$ 是困难的，为此，我们的目的是设计一个近似算法来导出次最优解。将组合二元约束 $s_{v}\in \left \{ 0,1 \right \}^{N}$ 松弛为凸包 $s_{v}\in \left [ 0,1 \right ]^N$ 得到一个连续的优化问题。设 $s^{*}_{v}$ 为连续优化问题的接，我们可以通过使用像伯努利抽样那用的随机抽样将 $s^{*}_{v}$ 四舍五入到组合空间 $\left [ 0,1 \right ]^N$ 中导出等式3中原始问题的次最优解，

引理2表征期望中 $s_{v}$ 和 $s^{*}_{v}$ 的关系：

为了解决松弛连续优化问题，通常采用PGD，但是PGD需要梯度，在本文黑盒设置中，只有预测结果可以使用，而非确切的梯度，攻击问题变成了如何估计梯度，使PGD可以使用。本文的目的是使用controlling the exploration-exploitation tradeoff via bandit methods.

Reformulating our attack as a bandit problem

在bandit feedback下，攻击这想要最大化累计奖励。但由于攻击者在每一轮中都不知道最优臂的 $s^{*}_{v}$ ，因此会产生遗憾，即最优臂 $s^{*}_{v}$ 下的最大奖励与攻击者的攻击算法的奖励之间的差距。然后，攻击者的目标是尽量减少累积的遗憾。设Reg(T)为T轮累计后悔次数， $s_{v}^{t}$ 为第T轮选取的扰动向量，