論文の概要、ライセンス

# (参考訳) グラフニューラルネットワークに対するノードレベルメンバーシップ推論攻撃 [全文訳有]

Node-Level Membership Inference Attacks Against Graph Neural Networks ( http://arxiv.org/abs/2102.05429v1 )

ライセンス: CC BY 4.0
Xinlei He and Rui Wen and Yixin Wu and Michael Backes and Yun Shen and Yang Zhang(参考訳) 多くの実世界のデータには、ソーシャルネットワークやタンパク質構造といったグラフの形式がある。 グラフデータに含まれる情報を最大限に活用するために、新しい機械学習(ML)モデル、すなわちグラフニューラルネットワーク(GNNs)が導入された。 これまでの研究では、機械学習モデルはプライバシー攻撃に弱いことが示されている。 しかし、現在の取り組みのほとんどは、画像やテキストのようなユークリッド空間からのデータに基づいて訓練されたMLモデルに集中している。 一方、GNNが引き起こすプライバシーリスクはほとんど調査されていない。 本稿では,GNNに対するノードレベルのメンバシップ推論攻撃を総合的に解析し,ギャップを埋める。 我々は,脅威モデルを体系的に定義し,敵の背景知識に基づく3つのノードレベルのメンバーシップ推論攻撃を提案する。 3つのGNN構造と4つのベンチマークデータセットに対する評価は、GNNが最小のバックグラウンド知識を持つ場合でも、ノードレベルのメンバシップ推定に弱いことを示している。 さらに,グラフ密度と特徴類似性が攻撃の成功に大きな影響を与えることを示した。 さらに,2つの防御機構を検証した結果,攻撃性能は低下するが,有効性は低下することが示された。

Many real-world data comes in the form of graphs, such as social networks and protein structure. To fully utilize the information contained in graph data, a new family of machine learning (ML) models, namely graph neural networks (GNNs), has been introduced. Previous studies have shown that machine learning models are vulnerable to privacy attacks. However, most of the current efforts concentrate on ML models trained on data from the Euclidean space, like images and texts. On the other hand, privacy risks stemming from GNNs remain largely unstudied. In this paper, we fill the gap by performing the first comprehensive analysis of node-level membership inference attacks against GNNs. We systematically define the threat models and propose three node-level membership inference attacks based on an adversary's background knowledge. Our evaluation on three GNN structures and four benchmark datasets shows that GNNs are vulnerable to node-level membership inference even when the adversary has minimal background knowledge. Besides, we show that graph density and feature similarity have a major impact on the attack's success. We further investigate two defense mechanisms and the empirical results indicate that these defenses can reduce the attack performance but with moderate utility loss.
公開日: Wed, 10 Feb 2021 13:51:54 GMT

※ 翻訳結果を表に示しています。PDFがオリジナルの論文です。翻訳結果のライセンスはCC BY-SA 4.0です。詳細はトップページをご参照ください。

翻訳結果

    Page: /      
英語(論文から抽出)日本語訳スコア
Node-Level Membership Inference Attacks Against Graph Neural Networks グラフニューラルネットワークに対するノードレベルメンバーシップ推論攻撃 0.82
Xinlei He1 Rui Wen1 Yixin Wu2 Michael Backes1 Yun Shen3 Yang Zhang1 Xinlei He1 Rui Wen1 Yixin Wu2 Michael Backes1 Yun Shen3 Yang Zhang1 0.80
1CISPA Helmholtz Center for Information Security 1CISPA Helmholtz Center for Information Security 0.97
2Sichuan University 3NortonLifeLock Research Group 2Sichuan University 3NortonLifeLock Research Group 0.88
1 2 0 2 b e F 0 1 1 2 0 2 b e F 0 1 0.85
] R C . ] R C。 0.78
s c [ 1 v 9 2 4 5 0 sc [ 1 v 9 2 4 5 0 0.68
. 2 0 1 2 : v i X r a . 2 0 1 2 : v i X r a 0.85
Abstract Many real-world data comes in the form of graphs, such as social networks and protein structure. 抽象 現実の多くのデータは、ソーシャルネットワークやタンパク質構造のようなグラフの形で来る。 0.79
To fully utilize the information contained in graph data, a new family of machine learning (ML) models, namely graph neural networks (GNNs), has been introduced. グラフデータに含まれる情報を最大限に活用するために、新しい機械学習(ML)モデル、すなわちグラフニューラルネットワーク(GNNs)が導入された。 0.78
Previous studies have shown that machine learning models are vulnerable to privacy attacks. これまでの研究では、機械学習モデルはプライバシー攻撃に弱いことが示されている。 0.58
However, most of the current efforts concentrate on ML models trained on data from the Euclidean space, like images and texts. しかし、現在の取り組みのほとんどは、画像やテキストのようなユークリッド空間からのデータに基づいて訓練されたMLモデルに集中している。 0.57
On the other hand, privacy risks stemming from GNNs remain largely unstudied. 一方、GNNが引き起こすプライバシーリスクはほとんど調査されていない。 0.63
In this paper, we fill the gap by performing the first comprehensive analysis of node-level membership inference attacks against GNNs. 本稿では,GNNに対するノードレベルのメンバシップ推論攻撃を総合的に解析し,ギャップを埋める。
訳抜け防止モード: 本稿では,そのギャップを埋める。 GNNに対するノードレベルメンバシップ推論攻撃の最初の包括的な分析を実行する。
0.76
We systematically define the threat models and propose three node-level membership inference attacks based on an adversary’s background knowledge. 脅威モデルを体系的に定義し、敵の背景知識に基づいた3つのノードレベルメンバーシップ推論攻撃を提案する。 0.70
Our evaluation on three GNN structures and four benchmark datasets shows that GNNs are vulnerable to node-level membership inference even when the adversary has minimal background knowledge. 3つのGNN構造と4つのベンチマークデータセットに対する評価は、GNNが最小のバックグラウンド知識を持つ場合でも、ノードレベルのメンバシップ推定に弱いことを示している。 0.58
Besides, we show that graph density and feature similarity have a major impact on the attack’s success. さらに、グラフ密度と特徴の類似性が攻撃の成功に大きな影響を与えることも示しています。 0.83
We further investigate two defense mechanisms and the empirical results indicate that these defenses can reduce the attack performance but with moderate utility loss. さらに,2つの防御機構を検証した結果,攻撃性能は低下するが,有効性は低下することが示された。 0.68
Introduction 1 Many real-world data can be organized in the form of graphs, such as social relations and protein structure. はじめに 1 実世界のデータの多くは、社会関係やタンパク質構造などのグラフ形式で整理することができる。 0.67
Effective graph analysis provides users a deeper understanding of what is behind the data and can help to analyze many natural phenomena and build powerful commercial applications. 効果的なグラフ分析は、データの背後にあるものをより深く理解し、多くの自然現象を分析し、強力な商用アプリケーションを構築するのに役立つ。 0.69
However, it is not trivial to utilize the classical machine learning models to analyze relational data with a more complex structure. しかし,従来の機械学習モデルを用いて,より複雑な構造を持つ関係データを解析することは容易ではない。 0.84
These models, such as convolutional neural networks (CNNs) and recurrent neural networks (RNNs), are designed to extract fine-grained representation for each data sample from its own feature. これらのモデル、例えば畳み込みニューラルネットワーク(CNN)やリカレントニューラルネットワーク(RNN)は、それぞれのデータサンプルの詳細な表現を独自の特徴から抽出するように設計されている。 0.78
To fully utilize the rich information of graph data, a new family of machine learning (ML) models, namely graph neural networks (GNNs) [18, 25, 44, 50], has been introduced to address graph-related tasks in an end-to-end manner. グラフデータの豊富な情報を最大限に活用するために、グラフニューラルネットワーク(GNNs)[18, 25, 44, 50]という新しい機械学習(ML)モデルが、グラフ関連のタスクをエンドツーエンドで処理するために導入された。 0.84
GNN models utilize both the feature of each sample (referred to as a node in the GNN context) and the features of the sample’s neighborhood (from the graph) to represent the sample. GNNモデルは、各サンプルの特徴(GNNコンテキストのノードとして参照)とサンプルの近傍の特徴(グラフから)の両方を利用して、サンプルを表現する。 0.77
In this way, a GNN learns to embed the structural connections このようにして、GNNは構造接続を埋め込むことを学ぶ 0.83
among different nodes in its training dataset. トレーニングデータセットの異なるノードの中でです 0.80
Recent research has shown that ML models are vulnerable to privacy attacks [5–7, 16, 26, 29, 35–38]. 最近の研究では、MLモデルはプライバシ攻撃(5–7, 16, 26, 29–35–38)に弱いことが示されている。
訳抜け防止モード: 最近の研究では mlモデルはプライバシ攻撃(5~7,16,26,29,35~38)に弱い。
0.68
Most of the current efforts in this direction concentrate on ML models trained on sensitive data from the Euclidean space, such as images and texts. この方向への現在の取り組みのほとんどは、画像やテキストなどのユークリッド空間からの機密データに基づいて訓練されたMLモデルに集中しています。 0.63
Meanwhile, graph data, which is used to train GNNs, also contains sensitive information, such as social relations [2,12,23] and mobility traces [1,10]. 一方、GNNの訓練に使用されるグラフデータには、社会的関係 [2,12,23] や移動性トレース [1,10] などのセンシティブな情報も含まれています。 0.67
However, the potential privacy risks stemming from GNNs have been largely understudied. しかし、GNNから生じる潜在的なプライバシーリスクは、ほとんど調査されていない。 0.56
1.1 Our Contributions In this paper, we investigate whether a GNN model is vulnerable to membership inference attacks [7, 19, 26, 35–37], the major means to assess ML models’ privacy risks. 1.1 本稿では、MLモデルのプライバシーリスクを評価する主要な手段である会員推論攻撃 [7, 19, 26, 35–37] に対して、GNNモデルが脆弱かどうかを検討する。 0.75
Specifically, an adversary aims to infer whether a target node is used in the training dataset of a target GNN. 具体的には、ターゲットGNNのトレーニングデータセットにターゲットノードが使用されているかどうかを推測することを目的としている。 0.64
We concentrate on black-box membership inference, the most difficult setting for the adversary [36]. 我々は敵[36]にとって最も難しいブラックボックスメンバーシップ推論に集中する。 0.64
There exists some preliminary work on privacy risks of GNNs [14,20,32]. GNNs[14,20,32]のプライバシーリスクに関する予備的な作業があります。 0.58
For instance, He et al. 例えば、He et al。 0.63
[20] propose a link stealing attack to infer the graph structure of a trained GNN model. [20] 訓練されたGNNモデルのグラフ構造を推測するためにリンク盗難攻撃を提案する。 0.82
Also, Duddu et al. また、Duddu et al。 0.73
[14] and Olatunji et al. [14]とOlatunji et al。 0.69
[32] have performed some preliminary studies on node-level membership inference attacks against GNNs. 32]GNNに対するノードレベルメンバシップ推論攻撃に関する予備的研究を行った。 0.67
However, the former lacks a clear attack methodology, while the latter conducts attacks in a restricted scenario, i.e., using a target node’s 2hop subgraph to query the target model to obtain the input to their attack model (see Section 3.3), which falls short of providing a complete picture of GNN’s membership inference risks. しかし、前者は明確な攻撃手法を欠いており、後者は、ターゲットノードの2ホップサブグラフを使用してターゲットモデルをクエリして攻撃モデルへの入力を取得するという制限されたシナリオで攻撃を行う(第3節3を参照)。
訳抜け防止モード: しかし、前者は明確な攻撃方法がなく、後者は制限されたシナリオで攻撃を行う。 すなわち ターゲットノードの 2ホップ サブグラフを使って ターゲットモデルに照会して攻撃モデルへの入力を得る (第3条3項参照) GNNのメンバーシップ推論リスクの全体像を提供するには足りません。
0.74
As mentioned before, GNNs are designed for graph data that is not in the Euclidean space, which leads to some unique research questions for membership inference attacks in this setting. 前述したように、GNNはユークリッド空間にないグラフデータ用に設計されており、この設定におけるメンバーシップ推論攻撃に関するユニークな研究問題につながります。 0.73
First, an adversary needs background knowledge, such as the target GNN’s architecture and a shadow dataset, to train their attack model. まず、敵は攻撃モデルをトレーニングするために、ターゲットのGNNアーキテクチャやシャドウデータセットといったバックグラウンド知識を必要とする。 0.68
State-of-the-art GNN models are normally shallow with less diverse choices of model architectures compared to CNNs and RNNs due to the fact that real-world graphs normally exhibit small-world phenomenon [15]. 最新のGNNモデルは、通常、CNNやRNNと比較してモデルアーキテクチャの多様性の少ない浅いです。
訳抜け防止モード: 現状 - 最先端 - アート GNN モデルは,CNN や RNN に比べてモデルアーキテクチャの選択肢が多様ではないため,通常は浅い。 実世界グラフは通常、小さな世界現象を示す[15]。
0.68
Also, different graphs share many common properties, such as power-law degree distribution [27]. また、異なるグラフは、パワーロー度分布など、多くの共通の特性を共有しています [27]。 0.67
This motivates us to understand whether an adversary can have less constrained background knowledge compared to previous membership inference attacks against other types of ML models. このことは、他のタイプのMLモデルに対する以前のメンバーシップ推論攻撃と比較して、敵が背景知識の制約が少ないかどうかを理解する動機となる。 0.59
Second, an adversary can query a target node 第二に、敵はターゲットノードをクエリできます。 0.60
1 1 0.85
英語(論文から抽出)日本語訳スコア
to a target GNN with either the node’s feature alone or the node and its neighborhood’s graph connections as well as their features. ターゲットのgnnには、ノードの機能単独か、あるいはノードとその近傍のグラフ接続と、それらの機能の両方がある。 0.70
This means one node can receive two different prediction outputs (posteriors) from the target GNN. これは、1つのノードがターゲットGNNから2つの異なる予測出力(後部)を受信できることを意味する。 0.66
We are interested in which posteriors reveal more information of the target node’s membership status and whether these two posteriors can be combined to achieve a more effective attack. ターゲットノードのメンバシップ状況に関する詳細な情報と,これら2つの後方情報を組み合わせることで,より効果的な攻撃を実現することができるか,という点に関心があります。 0.60
To answer these research questions, we make the following contributions in this paper. 本稿では,これらの研究課題に答えるために,以下の貢献を行う。 0.77
We first systematically define the threat model of nodelevel membership inference attack against GNNs by categorizing an adversary’s background knowledge along three dimensions, i.e., shadow dataset, shadow model, and node topology. まず,敵の背景知識を3次元(シャドウデータセット,シャドウモデル,ノードトポロジ)に沿って分類することで,GNNに対するノードレベル推定攻撃の脅威モデルを体系的に定義する。 0.84
Specifically, we assume that an adversary may have a shadow dataset that comes from the same or different distribution of the target model’s training dataset. 具体的には、ターゲットモデルのトレーニングデータセットの同一または異なる分布に由来するシャドーデータセットを持つ可能性があると仮定する。 0.79
They can also establish a shadow model that has the same or different architecture from the target model. また、ターゲットモデルと同一または異なるアーキテクチャを持つシャドーモデルを確立することもできます。 0.80
Regarding node topology, we consider two situations: 1) the adversary only uses the target node’s feature itself to query the target model (0-hop query) or 2) the adversary uses the target node and its 2-hop subgraph’s information to query the target model (2-hop query). ノードトポロジに関しては,1) 相手がターゲットノードの特徴そのものを使ってターゲットモデル(0ホップクエリ)を問合せする,2) 相手がターゲットノードとその2ホップサブグラフの情報を使ってターゲットモデル(2ホップクエリ)を問合せする,という2つの状況を考える。 0.81
Following the different threat models based on node topology, we propose three membership inference attack models, namely 0-hop attack, 2-hop attack, and combined attack. ノードトポロジに基づく異なる脅威モデルに従って,0ホップ攻撃,2ホップ攻撃,複合攻撃という3つのメンバシップ推論攻撃モデルを提案する。 0.78
We perform an extensive evaluation on three popular GNN models including GraphSAGE [18], Graph Attention Network (GAT) [44], and Graph Isomorphism Network (GIN) [50] with four benchmark datasets, i.e., Cora [25], Citeseer [25], Cora-full [3], and LastFM Asia [34]. 我々は,グラフSAGE[18],グラフ注意ネットワーク(GAT)[44],グラフ同型ネットワーク(GIN)[50]の3つの一般的なGNNモデルに対して,Cola [25],Citeseer [25],Cola-full [3],LastFM Asia [34]の4つのベンチマークデータセットを用いた広範な評価を行う。 0.76
Experimental results show that our attacks achieve strong performance. 実験の結果,攻撃は高い性能を示した。 0.75
For instance, our 0-hop attack achieves 0.791 accuracy on the GraphSAGE model trained on Citeseer. 例えば 0-hop 攻撃は citeseer でトレーニングされた graphsage モデル上で 0.791 の精度を達成している。 0.62
More interestingly, we discover that our 0-hop attack has better performance than the 2-hop attack. さらに興味深いことに、私たちの0ホップ攻撃は2ホップ攻撃よりもパフォーマンスが良いことが分かりました。
訳抜け防止モード: さらに興味深いことに 0ホップ攻撃は2ホップ攻撃よりも優れた性能を示す。
0.69
This is due to the fact a target node’s 2-hop neighborhood contains a mixture of member and non-member nodes which jeopardizes the attack model’s accuracy. これは、ターゲットノードの2ホップ近傍には、攻撃モデルの精度を危険にさらすメンバーと非メンバーノードの混合物が含まれているためです。 0.75
Also, our combined attack achieves the strongest performance by taking advantage of both the 0-hop and 2-hop attacks. また,0ホップ攻撃と2ホップ攻撃を併用することで,最強のパフォーマンスを達成する。 0.70
Moreover, we show that when the adversary does not know the target model’s training dataset distribution or architecture, our attack is still effective. さらに、敵がターゲットモデルのトレーニングデータセットの分布やアーキテクチャを知らない場合、攻撃は依然として効果的であることを示す。 0.80
We perform an in-depth analysis of the success behind the attack. 攻撃の背後にある成功の詳細な分析を行います。 0.78
Our experiments reveal that a target node with higher subgraph density is more prone to membership inference. 実験の結果, サブグラフ密度の高いターゲットノードは, メンバシップ推定がより困難であることがわかった。 0.61
This is due to the fact that a dense subgraph drives the node to participate more in the aggregation process of the GNN training, which amplifies the node’s influence in the target GNN model. これは、高密度サブグラフがノードをGNNトレーニングの集約プロセスに参加させるためであり、対象のGNNモデルにおけるノードの影響が増幅されるためである。 0.75
Besides, it is easier for the adversary to mount their attack if a node shares similar features with its neighbors. さらに、ノードが類似した機能を隣人と共有した場合、敵が攻撃をマウントするのも容易である。 0.67
We propose two defense mechanisms to mitigate the membership inference risks of GNNs. GNNのメンバシップ推論リスクを軽減するための2つの防御メカニズムを提案します。 0.61
Empirical evaluation shows that they are able to mitigate the attack performance to a certain extent while bringing moderate utility damage. 経験的評価は、中程度のユーティリティ損傷をもたらしながら、攻撃性能をある程度緩和できることを示しています。 0.63
This motivates us to further investigate advanced defenses in the future. これは、将来の先進的な防衛をさらに調査する動機となる。 0.64
Table 1: List of notations. 表1:表記のリスト。 0.73
Notation Description D = (G,X ,Y ) Dataset v A node 表記説明 D = (G,X ,Y ) データセット v A ノード 0.77
N l(v) gl(v) h(t) v MT DTarget Target) Target training (testing) dataset N l(v) gl(v) h(t) v MT DTarget Target) ターゲットトレーニング(テスト)データセット 0.83
l-hop neighborhood of v l-hop subgraph of v Representation vector of v at layer t Target model Target dataset 層 t ターゲットモデル ターゲットデータセットにおける v 表現ベクトル v の v l-hop 部分グラフの l-hop 近傍 0.77
MS DShadow Shadow) MS DShadow シャドウシャドウ) 0.86
Shadow model Shadow dataset Shadow training (testing) dataset shadow model shadow dataset shadow training (testing) dataset 0.81
DTrain Target (DTest DTrain Target (DTest) 0.89
DTrain Shadow (DTest DTrain Shadow (複数形 Shadows) 0.65
1.2 Organization The rest of the paper is organized as the following. 1.2 組織 残りの論文は以下の通りである。 0.75
In Section 2, we provide some background knowledge of graph neural networks. 第2節では,グラフニューラルネットワークの背景知識について述べる。 0.80
Section 3 presents the threat model and attack methodology. 第3節では脅威モデルと攻撃手法を提示する。 0.66
In Section 4, we discuss our empirical evaluation results. 第4節では経験的評価結果について論じる。 0.65
Section 5 summarizes the related work and Section 6 concludes the paper. 第5節は関連作業をまとめ、第6節は論文を締めくくる。 0.58
2 Graph Neural Networks In this section, we first introduce the notations used in the paper. 2 グラフニューラルネットワーク このセクションでは、最初に論文で使われる表記法を紹介します。 0.74
Then, we introduce the three representative GNN architectures we focus on. 次に、焦点を当てた3つの代表的GNNアーキテクチャを紹介します。 0.62
In the end, we discuss the prediction process of GNN. 最後に、GNNの予測プロセスについて議論します。 0.72
2.1 Notations We define a graph dataset as D = (G,X ,Y ). 2.1 記法 グラフデータセットを D = (G,X ,Y ) と定義する。 0.82
Here, G = (V ,E) represents a graph with V denoting the graph’s set of nodes and E representing the set of edges connecting these nodes. ここで、G = (V , E) はグラフのノードの集合を表すグラフを表し、E はこれらのノードを接続するエッジの集合を表す。 0.86
Each node is denoted by v ∈ V and euv ∈ E represents an edge linking two nodes u and v. X = {x1,x2, ...,x |V |} and Y = {y1,y2, ...,y |V |} represent the features and labels for all the nodes in G, respectively. 各ノードは v ∈ V で表され、euv ∈ E は二つのノード u と v をリンクするエッジを表す。 X = {x1,x2, ...,x |V |} と Y = {y1,y2, ...,y |V |} はそれぞれ G のすべてのノードの特徴とラベルを表す。 0.92
Node v’s l-hop neighborhood is denoted by N l(v), which contains a set of nodes at a distance less than or equal to l from v in G. For convenience, we abbreviate the 1-hop neighborhood of v as N (v). ノード v の l-ホップ近傍は n l(v) と表記され、これは g において v から l 以下の距離のノードの集合を含む。
訳抜け防止モード: Node v ’s l - hop neighborhood は N l(v) で表される。 これは、g の v から l に等しい距離のノードの集合を含む。 v の 1 ホップ近傍を N ( v ) と略す。
0.68
The l-hop subgraph of node v, denoted by gl(v), contains v and its l-hop neighborhood N l(v), edges among these nodes, and features of these nodes. gl(v) で示されるノード v の l-ホップ部分グラフは、v とその l-ホップ近傍 N l(v)、これらのノードのエッジ、およびこれらのノードの特徴を含む。 0.79
We summarize the main notations in Table 1. 表1の主な表記を要約します。 0.73
2.2 GNN Architecture In general, there are two settings for GNNs, i.e., transductive setting and inductive setting. 2.2 gnnアーキテクチャ 一般的に、gnnの2つの設定、すなわち、トランスダクティブ設定とインダクティブ設定がある。 0.62
In the transductive setting, a GNN (e.g., vanilla GCN [25]) is trained and tested on the same fixed graph. トランスダクティブ設定では、GNN(例えば、バニラGCN[25])がトレーニングされ、同じ固定グラフ上でテストされる。 0.68
It means, in the testing phase, the GNN model can only provide predictions for nodes that are in its training dataset. つまり、テストフェーズでは、GNNモデルはトレーニングデータセットにあるノードに対してのみ予測を提供することができる。 0.78
Therefore, membership inference attacks against transductive GNN models are trivial. したがって、トランスダクティブGNNモデルに対するメンバーシップ推論攻撃は自明である。 0.65
In this paper, we focus on the inductive setting of GNNs, whereby a 本稿では,GNNの帰納的設定に焦点をあてる。 0.51
2 2 0.85
英語(論文から抽出)日本語訳スコア
GNN model can classify nodes that are not from its training dataset. GNNモデルは、トレーニングデータセットからないノードを分類することができる。 0.79
Basically, a GNN contains several graph convolution layers that iteratively update a node v’s representation by aggregating the representation of nodes in v’s neighborhood. 基本的に、GNNには複数のグラフ畳み込み層があり、V近傍のノードの表現を集約することで、ノード v の表現を反復的に更新する。 0.78
Formally, each graph convolution layer of a GNN model can be defined as follows: 形式的には、GNNモデルのグラフ畳み込み層は次のように定義できる。 0.74
z(t) v = AGGREGATE({h(t−1) v = UPDATE(z(t) h(t) v ) z(t) v = AGGREGATE({h(t−1) v = UPDATE(z(t) h(t) v ) 0.91
u : u ∈ N (v)}) ウ : u ∈ n (v)}) 0.69
(1) where N (v) is the neighborhood of v. t represents the t-th layer of the GNN. (1) ここで N (v) は v. t の近傍であり、GNN の t 番目の層を表す。 0.81
z(t) v denote the hidden state and the representation vector of node v at layer t. In the first step, we initialize v’s representation h(0) v z(t) v は、階層 t におけるノード v の隠れた状態と表現ベクトルを表し、最初のステップでは、v の表現 h(0) v を初期化する。 0.85
as its feature xv. v and h(t) 特徴xvとして。 v と h(t) 0.77
AGGREGATE(·) and UPDATE(·) are the aggregation and update functions, respectively. AGGREGATE(·) と UPDATE(·) はそれぞれ集約関数と更新関数である。 0.76
For a given node v, the aggregation function is used to generate the current hidden state z(t) v using a combination of its previous representation and the aggregated representation from its neighborhood N (v). 与えられたノード v に対して、アグリゲーション関数は、その前の表現とその近傍 N (v) からの集約表現の組み合わせを用いて、現在の隠れ状態 z(t) v を生成する。 0.76
The update function then conducts non-linear transformation on the current hidden state z(t) v and produces the representation vector h(t) v . 更新関数は、現在の隠れ状態 z(t) v 上で非線形変換を行い、表現ベクトル h(t) v を生成する。 0.81
A multilayer perceptron (MLP) is usually used as the update function’s structure. 多層パーセプトロン(MLP)は通常、更新関数の構造として使用されます。 0.85
Meanwhile, different GNN models may leverage different aggregation functions. 一方、異なるGNNモデルは異なるアグリゲーション関数を利用する。 0.70
In this paper, we focus on three representative GNN architectures, i.e., GraphSAGE [18], Graph Attention Network (GAT) [44], and Graph Isomorphism Network (GIN) [50]. 本稿では,3つの代表的なGNNアーキテクチャ,すなわち GraphSAGE [18], Graph Attention Network (GAT) [44], Graph Isomorphism Network (GIN) [50]に焦点を当てる。 0.80
GraphSAGE. Hamilton et al. グラフ。 ハミルトンなど。 0.55
[18] propose GraphSAGE, which first generalizes the original graph convolutional network [25] to the inductive setting with different aggregation functions. 18]は、最初に元のグラフ畳み込みネットワーク[25]を異なる集計関数を持つ誘導設定に一般化するGraphSAGEを提案します。 0.82
In this paper, we follow the widely used mean aggregation function of GraphSAGE, which can be defined as follows: 本稿では,GraphSAGEの平均集約関数を次のように定義する。 0.51
z(t) v = CONCAT(h(t−1) z(t) v = CONCAT(h(t−1) 0.98
v , 1 |N (v)| v , 1 |N (v)| 0.89
∑ u∈N (v) h(t−1) u u∈N (v) h(t−1) u 0.85
) (2) where CONCAT is the concatenation operation. ) (2) CONCATは結合操作である。 0.80
GAT. Inspired by the attention mechanism in deep learning [43], Velickovic et al. GAT。 深層学習における注意のメカニズム [43] に触発されたvelickovicらだ。 0.79
[44] propose GAT that leverages multi-head attention to learn different attention weights and pays more attention to important neighborhoods. 44] 異なる注意重みの学習に多面的注意を生かしたGATを提案し, 重要な地区により多くの注意を払っている。 0.67
GAT’s aggregation function can be formulated as: GATのアグリゲーション関数は次のように定式化できる。 0.67
z(t) v = CONCATK z(t) v = CONCATK 0.85
uvWkh(t−1) αk uvWkh(t−1) αk 0.78
u ) (3) k=1 σ( ∑ u∈N (v) ウ ) (3) k=1 σ(v) である。 0.79
where K is the total number of projection heads in the attention mechanism. ここでKは、注意メカニズムにおける投射ヘッドの総数です。 0.74
Wk and αk uv are the weight matrix and the attention coefficient in the k-th projection head, respectively. Wkおよびαkuvは、それぞれk番目の投射ヘッドにおける重み行列および注目係数である。 0.78
σ(·) is the activation function. σ(·) は活性化関数である。 0.87
GIN. Xu et al. GIN! xuなど。 0.52
[50] develop GIN whose representation power is well-matched with the Weisfeiler-Lehman test for graph isomorphism. [50] グラフ同型に対するWeisfeiler-Lehmanテストと表現力が整合した GIN を開発する。 0.66
The aggregation function of GIN can be represented as: GINのアグリゲーション関数は次のように表現できる。 0.75
z(t) v = (1 + ε(t))· h(t−1) z(t) v = (1 + ε(t))· h(t−1) 0.94
v + ∑ u∈N (v) h(t−1) u v u∈N (v) h(t−1) u 0.78
(4) 3 where ε is a learnable parameter to adjust the weight of node v. (4) 3 ここで ε はノード v の重みを調整するための学習可能なパラメータです。 0.80
2.3 GNN Prediction In this paper, we focus on node classification tasks. 2.3 GNN予測 この論文では、ノード分類タスクに焦点を当てる。 0.75
In the training phase, an inductive GNN learns the parameters of aggregation and update functions in different layers over a training dataset. トレーニングフェーズでは、インダクティブGNNは、トレーニングデータセット上の異なるレイヤの集計および更新機能のパラメータを学習する。 0.71
Then, to get a precise prediction of an unseen node v in a t-layer GNN, we can feed v’s t-hop subgraph, i.e., gt (v), to the GNN and obtain the prediction posteriors pv. 次に、t層GNNにおける見えないノードvの正確な予測を得るために、vのtホップサブグラフ、すなわちgt(v)をGNNに供給し、予測後pvを得ることができる。 0.68
Note that the t-hop subgraph of v is not a necessary condition to acquire the posteriors pv. 注意: v の t-ホップ部分グラフは後部 pv を取得する必要条件ではない。 0.68
We can obtain posteriors pv by only querying the target node v’s feature to the GNN model. ターゲットノードvの機能のみをgnnモデルに問い合わせることで、後方pvを得ることができる。 0.68
Our evaluation shows that even in this case, the GNN model can achieve better performance than MLP, i.e., a model that does not consider graph structural information (see Section 4). この場合においても,グラフ構造情報を考慮しないモデル(第4節参照)により,GNNモデルの方がMPPよりも優れた性能が得られることを示す。 0.79
3 Node-Level Membership Inference 3ノードレベルのメンバシップ推論 0.61
Against GNNs In this section, we first define node-level membership inference attacks against GNNs. GNNへの対抗 本稿ではまず,GNNに対するノードレベルのメンバシップ推論攻撃を定義する。 0.65
Then, we discuss the threat model and present the attack methodology. 次に脅威モデルについて議論し,攻撃手法を提案する。 0.76
3.1 Problem Definition The goal of an adversary is to determine whether a given node is used to train a target GNN model or not. 3.1 問題定義 敵の目標は、特定のノードがターゲットのGNNモデルをトレーニングするかどうかを決定することである。 0.79
More formally, given a target node v, a target GNN model MT, and the adversary’s background knowledge K , node-level membership inference attack A is defined as the following. より正式には、対象ノードv、対象GNNモデルMT、及び敵の背景知識Kが与えられた場合、ノードレベルの会員推測攻撃Aを次のように定義する。 0.72
A : v,MT,K (cid:55)→ {member,non-member} A : v,MT,K (cid:55)→ {member,non-member} 0.95
(5) As discussed in the previous work [36], successful membership inference attacks can cause severe privacy risks. (5) 前回の[36]で説明したように、成功したメンバーシップ推論攻撃は深刻なプライバシーリスクを引き起こす可能性があります。 0.70
In the setting of GNNs, membership threat is related to graph data, such as inferring a user being a member of a sensitive social network. GNNの設定では、メンバーシップの脅威は、敏感なソーシャルネットワークのメンバーであるユーザーを推測するなど、グラフデータに関連しています。 0.74
i,e, 3.2 Threat Model Our target model MT is an inductive GNN model. I,e, 3.2 脅威モデル 我々のターゲットモデル mtはインダクティブgnnモデルです。 0.76
First, we assume that the adversary only has black-box access to the target model, they can only query the target model and obtain the posteriors. まず、敵はターゲットモデルへのブラックボックスアクセスしか持たず、ターゲットモデルに問い合わせて後続モデルを取得することしかできないと仮定する。 0.76
As mentioned by previous work [20,35,36], black-box setting is the most challenging scenario for the adversary. 以前の仕事[20,35,36]で述べたように、ブラックボックス設定は敵にとって最も難しいシナリオです。 0.63
We then categorize the adversary’s background knowledge K along three dimensions, i.e., shadow dataset, shadow model, and node topology. 次に、敵の背景知識kを3次元、すなわちシャドウデータセット、シャドウモデル、ノードトポロジーに沿って分類する。 0.64
Shadow Dataset. シャドウデータセット。 0.63
We assume that the adversary has a shadow dataset DShadow which contains its own graph structure as well as node features and labels. 我々は、敵が独自のグラフ構造とノード機能とラベルを含むシャドウデータセットDShadowを持っていると仮定します。 0.80
Following the previous work [36], the shadow dataset DShadow can come from the same distribution of the target model’s training dataset. 以前の作業[36]に続いて、シャドーデータセットDShadowは、ターゲットモデルのトレーニングデータセットと同じ分布から得ることができる。 0.83
However, our empirical evaluation shows that this assumption can be relaxed (see Section 4.5). しかし、経験的評価は、この仮定を緩和できることを示しています(第4.5節参照)。 0.55
Note that in both cases, どちらの場合も注意。 0.56
英語(論文から抽出)日本語訳スコア
Figure 1: A schematic overview of node-level membership inference attack against GNNs. 図1: GNNに対するノードレベルのメンバシップ推論攻撃のスキーマ概要。 0.81
the shadow dataset has no node and edge intersection with the target dataset. シャドウデータセットは、ターゲットデータセットとノードとエッジの交差点を持たない。 0.71
Shadow Model. With the shadow dataset, the adversary can train a shadow GNN model MS to mimic the behaviors of the target model MT. シャドウモデル。 シャドウデータセットにより、敵はターゲットモデルMTの動作を模倣するためにシャドウGNNモデルMSを訓練することができる。 0.70
We can assume that the shadow model shares the same architecture as the target model [35, 36]. シャドウモデルは、ターゲットモデル [35, 36] と同じアーキテクチャを共有していると仮定できます。 0.76
In this case, the adversary needs to first perform a hyperparameter stealing attack to obtain the target model’s architecture [45]. この場合、敵はまず、ターゲットモデルのアーキテクチャを取得するためにハイパーパラメータ盗み攻撃を実行する必要がある [45]。 0.71
Also, our experimental results show that an adversary can use a different GNN architecture from the target model to establish their shadow model (see Section 4.5). また,実験結果から,敵はターゲットモデルと異なるGNNアーキテクチャを用いてシャドウモデルを構築することができることがわかった(第4.5節参照)。 0.78
Node Topology. To get the posteriors for v from MT, we consider two cases. ノードトポロジー。 MT から v の後方を得るには, 2 つの症例を考察する。 0.63
In the first case, we assume that the adversary only has v’s feature xv. 最初のケースでは、敵はvの機能xvだけを持っていると仮定する。 0.72
As the input to a GNN needs to be in the form of a graph, we add a self-loop for v [25] and query the target model. gnnへの入力はグラフの形にする必要があるので、v[25]の自己ループを追加して、ターゲットモデルをクエリします。 0.75
We refer to this case as a node’s 0hop query. このケースをノードの 0hop クエリと呼びます。 0.58
In the second case, we assume that the adversary knows the target node v’s 2-hop subgraph g2(v), which can be directly fed to the target model. 第2のケースでは、敵がターゲットノード v の 2-ホップ部分グラフ g2(v) を知っていて、ターゲットモデルに直接供給できると仮定する。 0.78
We name this scenario as a node’s 2-hop query. このシナリオをノードの2ホップクエリと命名します。 0.70
Note that g2(v) does not need to be the complete 2-hop subgraph of v as the adversary may only have a partial view of the dataset. g2(v) が v の完全な 2-ホップ部分グラフである必要はないことに注意してください。
訳抜け防止モード: g2(v ) は v の完全な 2 ホップ部分グラフである必要はないことに注意してください。 敵はデータセットの部分的なビューしか持たない。
0.70
Besides, nodes in g2(v) can be a mixture of members and non-members for the target GNN. さらに、g2(v) のノードは、ターゲットの gnn に対するメンバと非メンバの混合である。 0.72
This is more realistic as the adversary does not know any other nodes’ membership status. 敵は他のノードのメンバシップステータスを知らないため、これはより現実的です。 0.64
The goal is to infer the membership status of v. In this paper, we only consider the 0hop and 2-hop queries since they are the two extreme querying cases where 0-hop query utilizes no information from the graph structure, while 2-hop query considers the complete graph structure (2-hop subgraph).1 Indeed, 1-hop subgraph is also a possible node topology to the adversary. この論文では、0-hopクエリがグラフ構造からの情報を使用しない2つの極端なクエリケースであり、2-hopクエリが完全なグラフ構造(2-hopサブグラフ)を考慮しているため、0-hopと2-hopのクエリのみを考慮する。 0.64
We leave the investigation as our future work. 調査は今後の作業として任せます。 0.65
1Most of the state-of-the-art GNNs follow two-layer structure due to the fact that real-world graphs normally exhibit small-world phenomenon [15], and in this case, 2-hop query is the upper bound for the query depth. 1最先端のGNNの大部分は、現実世界のグラフが通常小世界の現象を示すという事実のために2層構造に従います[15]、そしてこの場合、2ホップクエリはクエリ深さの上限です。 0.68
Moreover, previous empirical results [18] show that deeper GNN architecture does not further improve the classification performance. さらに,従来の実験結果[18]では,より深いGNNアーキテクチャでは分類性能が向上しないことが示された。 0.71
3.3 Attack Methodology Following the standard process of membership inference attacks against ML models [36], our attack can be divided into three stages, i.e., shadow model training, attack model training, and membership inference. 3.3 攻撃手法 MLモデル [36] に対するメンバシップ推論の標準的なプロセスに従って,我々の攻撃は,シャドウモデルトレーニング,アタックモデルトレーニング,メンバシップ推論という3つの段階に分けられる。 0.83
Figure 1 provides a schematic overview of the attack process. 図1は、攻撃プロセスの概観を提供します。 0.82
Shadow and V Test Shadow, respectively. 影とVテスト それぞれ影。 0.62
After that, DTrain Shadow Model Training. その後DTrain シャドーモデルのトレーニング。 0.65
Given a shadow dataset DShadow, the adversary first splits its node set VShadow into two disjoint sets, including V Train Shadow. シャドウデータセットDShadowが与えられると、敵対者はまずノードセットVShadowをV Train Shadowを含む2つの非結合セットに分割する。 0.78
Then, the adversary deShadow) and testing (DTest rives their shadow training (DTrain Shadow) datasets by involving all the features, labels, and edges within V Train Shadow and V Test Shadow is used to train a shadow GNN model MS. 次に、逆の deShadow) とテスト (DTest) は、V Train Shadow と V Test Shadow 内のすべての機能、ラベル、エッジを組み込んだシャドウトレーニング (DTrain Shadow) データセットを、シャドウ GNN モデル MS のトレーニングに使用します。 0.85
Attack Model Training. The attack model is a binary machine learning classifier and its input is derived from a node’s posteriors provided by a GNN. 攻撃モデルの訓練。 攻撃モデルは、バイナリマシンラーニング分類器であり、その入力は、GNNによって提供されるノードの後者に由来する。 0.77
To obtain the training dataset for the attack model, the adversary needs to query MS with all the nodes in VShadow (both V Train Shadow) and gets the corresponding prediction posteriors. 攻撃モデルのトレーニングデータセットを得るには、VShadow(V Train Shadowの両方)内のすべてのノードにMSをクエリし、対応する予測後部を取得する必要がある。 0.78
As mentioned before, depending on their knowledge of node topology, the adversary can perform 0-hop query or 2-hop query. 前述したように、ノードトポロジの知識に応じて、敵は0ホップクエリまたは2ホップクエリを実行できます。 0.57
For a node v, we refer to its posteriors obtained by 0-hop query (2-hop query) as 0-hop posteriors (2-hop posteriors). ノード v に対して、0-ホップクエリ (2-ホップクエリ) から得られる後部を 0-ホップ後部 (2-ホップクエリ) と呼ぶ。 0.59
In this paper, we consider three types of attack model input summarized from posteriors which leads to three attack models, namely 0-hop attack A0, 2-hop attack A2, and combined attack Ac. 本稿では,後部から入力された攻撃モデルとして,0ホップ攻撃A0,2ホップ攻撃A2,複合攻撃Acの3種類の攻撃モデルについて考察する。 0.84
Shadow and V Test • 0-hop Attack. 影とVテスト •0ホップ攻撃。 0.75
The 0-hop attack model is essentially an MLP, which takes v’s largest two2 values (ranked) in its 0-hop posteriors as the input. 0ホップ攻撃モデルは基本的にMLPであり、0ホップ後者のvの最大2つの値(ランク付け)を入力として取ります。 0.68
• 2-hop Attack. The 2-hop attack model is also an MLP, which takes v’s largest two values (ranked) in its 2-hop posteriors as the input. • 2ホップ攻撃。 2ホップ攻撃モデルは、入力として2ホップ後部において、Vの最大の2つの値(ランク付け)を取るMLPでもある。 0.75
2Classification tasks considered in this paper have at least two classes. 2 分類タスクには少なくとも2つのクラスがある。 0.71
4 4 0.85
英語(論文から抽出)日本語訳スコア
Table 2: Dataset statistics. 表2: データセット統計。 0.87
Dataset #. Node データセット #. ノード 0.72
#. Edge #. Feature #. 縁 #. 特徴 0.73
#. Class Cora Citeseer Cora-full Lastfm #. クラス コラ Citeseer Cora-full Lastfm 0.71
2,708 3,327 19,793 7,624 2,708 3,327 19,793 7,624 0.45
5,429 4,732 65,311 27,806 5,429 4,732 65,311 27,806 0.45
1,433 3,703 8,710 7,842 1,433 3,703 8,710 7,842 0.45
7 6 70 18 • Combined Attack The combined attack model considers both the inputs for the 0-hop and the 2-hop attack by first feeding them separately to different linear layers. 7 6 70 18 • 複合攻撃 複合攻撃モデルでは、0ホップの入力と2ホップの攻撃の両方を、まず異なる線形層に分離して供給することで検討している。 0.77
Then, the attack model concatenates the two embeddings and feeds them to an MLP. そして、攻撃モデルは2つの埋め込みを結合し、それらをMLPに供給する。 0.71
Note that if the adversary can perform 2-hop attack of a given node, they can also perform 0-hop attack. 敵が与えられたノードの2ホップ攻撃を行うことができれば、0ホップ攻撃を行うこともできる。 0.65
Therefore, the combined attack requires the same background knowledge as the 2-hop attack. したがって、複合攻撃は2ホップ攻撃と同じ背景知識を必要とする。 0.82
In all cases, if v ∈ V Train Shadow, we label it as a member, otherwise as a non-member. いずれの場合も、v ∈ V Train Shadow の場合、それをメンバーとして、さもなければ非メンバーとしてラベル付けします。 0.66
In the end, the adversary constructs an attack training dataset, which they use to train their attack model. 最後に、敵は攻撃訓練データセットを構築し、攻撃モデルをトレーニングするために使用する。 0.71
Membership Inference. メンバーシップ推論。 0.56
To determine whether a target node is used to train the target model MT, the adversary first conducts 0-hop query or 2-hop query to the target model depending on their background knowledge. ターゲットノードがターゲットモデルmtのトレーニングに使用されるかどうかを判断するために、敵はまず、背景知識に応じてターゲットモデルに対して0ホップクエリまたは2ホップクエリを実行する。 0.64
Then, the adversary queries the attack model with the 0-hop posteriors, 2hop posteriors, or both to get the node’s membership prediction. 次に、敵は攻撃モデルを0ホップ後部、2ホップ後部または両方でクエリし、ノードのメンバシップ予測を取得する。 0.62
4 Evaluation In this section, we perform a comprehensive measurement of the node-level membership privacy risks stemming from GNN models. 4 評価 このセクションでは、GNNモデルに起因するノードレベルの会員プライバシーリスクの包括的な測定を行います。 0.81
We first introduce the experimental setup, then present the evaluation results for the attacks in different settings. まず、実験的な設定を導入し、次に異なる設定で攻撃の評価結果を提示する。 0.74
In the end, we evaluate the performance of possible defense mechanisms. 最後に、可能な防御メカニズムのパフォーマンスを評価します。 0.62
4.1 Experimental Setup 4.1 実験セットアップ 0.75
Dataset. We conduct experiments on four public datasets, including Cora [25], Citeseer [25], Cora-full [3], and LastFM Asia [34] (abbreviated as Lastfm). データセット。 Cora [25]、Citeseer [25]、Cora-full [3]、LastFM Asia [34](Lastfmと略される)を含む4つの公開データセットの実験を行います。 0.67
Cora and Citeseer are citation graphs whose nodes represent papers and edges reflect citation relationships among papers. CoraとCiteseerは、ノードが論文を表し、エッジが論文間の引用関係を反映した引用グラフです。 0.60
Cora-full is an extended Cora dataset. Cora-full は拡張された Cora データセットである。 0.58
Lastfm is a social network dataset with its nodes being users and edges representing users’ mutual following relationships. Lastfmはソーシャルネットワークのデータセットで、ノードはユーザ、エッジはユーザの相互フォロー関係を表す。 0.79
All datasets contain node features and labels. すべてのデータセットにはノードの特徴とラベルが含まれている。 0.53
Dataset statistics are summarized in Table 2. データセット統計を表2にまとめます。 0.81
Dataset Configuration. The dataset configuration process is depicted in Figure 1. データセット設定。 データセットの設定プロセスは図1に示します。 0.81
For each dataset, we first randomly split its nodes by half. データセットごとに、まずランダムにノードを半分に分割します。 0.77
The first half (including the nodes, the edges among the nodes, and the nodes’ features and labels) is used to construct the target dataset, i.e., DTarget. 前半(ノード、ノード間のエッジ、ノードの特徴とラベルを含む)は、ターゲットデータセット、すなわちdtargetを構築するために使用される。 0.72
The other half is treated as the shadow dataset, i.e., DShadow. 残りの半分はシャドーデータセット、すなわちDShadowとして扱われる。 0.76
Note Target and the target testing dataset DTest 備考 TargetとターゲットテストデータセットDTest 0.64
that the target dataset and shadow dataset are disjoint as mentioned in Section 3. 第3節で述べたように、ターゲットデータセットとシャドウデータセットは非結合である。 0.64
For the target dataset DTarget, we further randomly split it by half creating the target training dataset DTrain Target. ターゲットデータセットDTargetでは、ターゲットトレーニングデータセットDTrain Targetを半分にしてランダムに分割します。 0.81
The target training dataset is used to train the target model, and the target testing dataset is used to test the target model’s performance with respect to its original classification task. ターゲットトレーニングデータセットは、ターゲットモデルのトレーニングに使用され、ターゲットテストデータセットは、元の分類タスクに関してターゲットモデルのパフォーマンスをテストするために使用されます。 0.88
Both DTrain Target and DTest Target are used to test membership inference. DTrain TargetとDTest Targetはどちらも、メンバシップ推論のテストに使用される。 0.67
Nodes in DTrain Target as non-members. 非メンバーとしてDTrain Targetのノード。 0.67
As mentioned in Section 3.2, for the 2-hop query scenario, each node’s 2-hop subgraph can contain a mixture of member and non-member nodes. 第3.2節で述べたように、2ホップクエリシナリオでは、各ノードの2ホップサブグラフはメンバーと非メンバーノードの混合物を含むことができる。 0.64
Target are considered as members and nodes in DTest ターゲットはDTestのメンバとノードと見なされる 0.77
We apply the same processing procedure on the shadow Shadow and Shadow is used to train Shadow are used to 同じ処理手順をシャドウシャドウに適用し、シャドウを訓練するためにシャドウを使用します。 0.56
dataset to generate the shadow training dataset DTrain the shadow testing dataset DTest Shadow. シャドウトレーニングデータセットを生成するデータセットdtrain シャドウテストデータセットdtestシャドウ。 0.70
DTrain the shadow model. 影モデルでDTrain。 0.69
Both DTrain Shadow and DTest derive the training dataset for the attack model. DTrain ShadowとDTestの両方が、攻撃モデルのトレーニングデータセットを導出する。 0.81
Metric. We use accuracy as our evaluation metric for both target model’s performance and attack model’s performance as it is widely used in node classification tasks [25,44,50] as well as membership inference attacks [35, 36]. メートル法。 ノード分類タスク [25,44,50] やメンバーシップ推論攻撃 [35, 36] で広く使用されているため、ターゲットモデルのパフォーマンスと攻撃モデルのパフォーマンスの両方に精度を評価する指標として使用します。 0.74
Target Models. We leverage three GNN architectures, i.e., GraphSAGE, GAT, and GIN, to construct our target models and shadow models. ターゲットモデル。 GraphSAGE、GAT、GINという3つのGNNアーキテクチャを利用して、ターゲットモデルとシャドウモデルを構築しています。 0.73
For each target model, we set the number of layers to 2 and the number of neurons to 32 in the hidden layer. 各ターゲットモデルについて、レイヤ数を2に設定し、ニューロン数を隠れたレイヤ内の32に設定する。
訳抜け防止モード: 各ターゲットモデルに対して、レイヤの数を2に設定します。 隠された層内の32個までのニューロンの数です
0.72
Additionally, GAT models require the specification of the number of heads in the multi-head attention mechanism. さらに、GATモデルはマルチヘッドアテンション機構におけるヘッドの数を指定する必要がある。 0.69
We set the number of heads for the first layer and the second layer to 2 and 1, respectively. 第1層の頭部数と第2層の頭部数をそれぞれ2と1に設定した。 0.69
We also use dropout in all hidden layers to reduce overfitting, and the dropout rate is 0.5. また、すべての隠された層にドロップアウトを使用してオーバーフィッティングを減らし、ドロップアウト率は0.5です。 0.60
We adopt cross-entropy as the loss function and Adam as the optimizer. 我々は損失関数としてクロスエントロピーを、オプティマイザとしてAdamを採用します。 0.46
The learning rate is set to 0.003. 学習率を0.003とする。 0.75
The target and shadow models are both trained for 200 epochs. ターゲットモデルとシャドウモデルの両方が200エポックで訓練されている。 0.62
Baseline Model. ベースラインモデル。 0.70
We leverage a 2-layer MLP as the baseline model to perform the same task as the target model’s original task. ベースラインモデルとして2層MLPを活用し、対象モデルの元のタスクと同じタスクを実行します。 0.78
Each hidden layer has 32 neurons with ReLU as its activation function. 各隠れ層は、reluを活性化機能とする32個のニューロンを有する。 0.63
Loss function, optimizer, epochs, and learning rate are identical to those of the target GNN models. ロス関数、オプティマイザ、エポック、学習率は、対象のGNNモデルと同一である。 0.65
Attack Models. For both 0-hop and 2-hop attacks, a 2-layer MLP is utilized as the attack model and the number of neurons in the hidden layer is set to 128. 攻撃モデル。 0ホップ攻撃と2ホップ攻撃の両方において、2層MLPを攻撃モデルとして利用し、隠蔽層内のニューロン数を128に設定する。 0.74
Regarding the combined attack, the two inputs are first fed into two separated linear layers (with 64 neurons) simultaneously. 複合攻撃については、2つの入力を2つの分離された線形層(64個のニューロンを持つ)に同時に供給する。 0.65
We then concatenate the two 64-dimensional embeddings and feed them to another linear layer for membership inference. 次に2つの64次元埋め込みを結合し、メンバシップ推論のために別の線形層に与えます。 0.57
ReLU is adopted as the activation function for all the attack models. ReLUはすべての攻撃モデルのアクティベーション機能として採用されている。 0.73
Also, the loss function and optimizer are the same as the target model. また、損失関数とオプティマイザはターゲットモデルと同じである。 0.72
We set the learning rate to 0.001 and the training epochs to 500. 学習率は0.001に、トレーニングエポックは500に設定しました。 0.72
Implementation. Our code is implemented with PyTorch3 and DGL.4 The experiments are performed on an NVIDIA DGX-A100 server with Ubuntu 18.04 system. 実装。 私たちのコードはPyTorch3とDGL.4で実装されています。実験はUbuntu 18.04システムを備えたNVIDIA DGX-A100サーバーで実行されます。 0.55
3https://pytorch.org / 4https://www.dgl.ai 3https://pytorch.org / 4https://dgl.ai 0.45
5 5 0.85
英語(論文から抽出)日本語訳スコア
Table 3: The performance of 0-hop attacks for different GNN architectures on four different datasets. 表3: 4つの異なるデータセット上の異なるGNNアーキテクチャに対する0ホップ攻撃のパフォーマンス。 0.77
Dataset Cora Citeseer Cora-full Lastfm データセット コラ Citeseer Cora-full Lastfm 0.63
Target Model GraphSAGE GIN Target Model GraphSage GIN 0.83
0.754 0.791 0.754 0.686 0.754 0.791 0.754 0.686 0.45
0.741 0.797 0.748 0.652 0.741 0.797 0.748 0.652 0.45
GAT 0.757 0.798 0.728 0.658 GAT 0.757 0.798 0.728 0.658 0.65
Table 4: The performance of 2-hop attacks for different GNN architectures on four different datasets. 表4: 4つの異なるデータセット上の異なるGNNアーキテクチャに対する2ホップ攻撃のパフォーマンス。 0.77
Dataset Cora Citeseer Cora-full Lastfm データセット コラ Citeseer Cora-full Lastfm 0.63
Target Model GraphSAGE GIN Target Model GraphSage GIN 0.83
0.671 0.700 0.723 0.637 0.671 0.700 0.723 0.637 0.45
0.601 0.647 0.617 0.586 0.601 0.647 0.617 0.586 0.45
GAT 0.662 0.691 0.639 0.602 GAT 0.662 0.691 0.639 0.602 0.65
of true positive (TP), false positive (FP), true negative (TN), and false negative (FN) nodes for the 0-hop and 2-hop attacks in Figure 3. The true positive (TP), false positive (FP), true negative (TN), false negative (FN) node for the 0-hop and 2-hop attack in Figure 3。 0.80
We observe that both attacks achieve a similar true positive rate. どちらの攻撃も同様の真正率を達成することが観察される。 0.61
It is reasonable since if a target node is a member, then the target model gives a relatively confident prediction for both its 0-hop and 2-hop queries, and this confident prediction is exploited by both attack models to distinguish the node from non-members. ターゲットノードがメンバーである場合、ターゲットモデルは0ホップと2ホップの両方のクエリに対して比較的自信のある予測を与えるため、この自信のある予測は両方の攻撃モデルによって利用され、ノードを非メンバーと区別します。 0.76
Meanwhile, the 2-hop attack has a higher ratio of FP (misclassifying non-members as members) than the 0-hop attack. 一方、2-hop攻撃は0-hop攻撃よりもfp(非メンバーをメンバーとして分類する)が高い。 0.72
One reason might be a non-member node’s 2-hop subgraph may contain some member nodes. 1つの理由は、非メンバーノードの2ホップのサブグラフが一部のメンバーノードを含む可能性があることである。 0.56
When the attack model makes a prediction for the non-member node with its 2-hop query, it aggregates the information from the member nodes that might exist in its 2-hop subgraph, thus yields a less accurate prediction. 攻撃モデルが2ホップクエリで非メンバーノードの予測を行うと、2ホップサブグラフに存在する可能性のあるメンバーノードからの情報を集約し、より正確な予測が得られます。 0.73
Similar to previous work [35,36], we measure the relationship between overfitting and attack performance. 先行研究 [35,36] と同様, オーバーフィッティングと攻撃性能の関係を測定した。 0.80
The overfitting level is quantified by the difference between training accuracy and testing accuracy of the target model. オーバーフィッティングレベルは、対象モデルのトレーニング精度とテスト精度の違いによって定量化される。 0.83
In Figure 4, we observe that the attack performance is strongly correlated with the overfitting level. 図4では、攻撃性能がオーバーフィットレベルと強く相関していることを観察する。 0.75
Specifically, in Figure 4a, for the 2-hop attack, the overfitting level for GraphSAGE on the Lastfm dataset is 0.164 and the attack accuracy is 0.637, while a higher overfitting level (0.261) and attack accuracy (0.700) can be observed on the Citeseer dataset. 具体的には、図4aでは、Lastfmデータセット上のGraphSAGEのオーバーフィッティングレベルが0.164であり、アタック精度が0.637であり、Citeseerデータセット上では高いオーバーフィッティングレベル(0.261)とアタック精度(0.700)が観察できる。 0.76
Also, compared to 0-hop query, 2-hop query has a lower overfitting level, this is due to the fact that 2-hop query achieves better testing accuracy (see Figure 2). また、0-hopクエリと比較して、2-hopクエリはオーバーフィッティングレベルが低く、これは2-hopクエリがより優れたテスト精度を達成しているためである(図2参照)。 0.67
Node Property. Nodeプロパティ。 0.68
We next investigate which kinds of nodes are more prone to membership inference. 次に、どのノードがメンバーシップ推論の傾向が高いかを調査する。 0.54
To this end, we calculate three metrics for each node, i.e., degree, ego density, and feature similarity. この目的のために、各ノードの度合い、エゴ密度、特徴類似度という3つのメトリクスを計算する。 0.80
The first two are related to a node’s graph property and the last one focuses on the node’s feature. 最初の2つはノードのグラフプロパティと関連しており、最後の2つはノードの機能に焦点を当てている。 0.82
Figure 2: The performance of original classification tasks when the target model’s architecture is MLP or GraphSAGE (0-hop and 2-hop query). 図2:ターゲットモデルのアーキテクチャがMLPまたはGraphSAGE(0-hopおよび2-hopクエリ)である場合の元の分類タスクのパフォーマンス。 0.86
The x-axis represents different datasets. x軸は異なるデータセットを表す。 0.72
The y-axis represents original classification tasks’ accuracy. y軸は、もともとの分類タスクの精度を表す。 0.65
4.2 Target Model Performance We first show the performance of the target models with respect to their original classification tasks in Figure 2. 4.2 ターゲットモデルの性能 図2で最初に、元の分類タスクに関して、ターゲットモデルのパフォーマンスを示します。 0.89
To get the posteriors of a given node, we consider two query scenarios for each target model, i.e., 0-hop query and 2-hop query. 与えられたノードの事後を取得するために、ターゲットモデルごとに2つのクエリシナリオ、すなわち0-hopクエリと2-hopクエリを検討する。
訳抜け防止モード: 特定のノードの後方に 各ターゲットモデルに対する2つのクエリシナリオについて検討する。 0-hopクエリと2-hopクエリ。
0.80
For comparison, we only consider a node’s feature as the input to each baseline model (i.e., a 2-layer MLP) and perform the same classification task as the target model. 比較のために、ノードの特徴を各ベースラインモデル(すなわち、2層MLP)への入力としてのみ考慮し、ターゲットモデルと同じ分類タスクを実行します。 0.83
Due to space limitations, we only show the results for GraphSAGE. スペース制限のため、GraphSAGEの結果のみを表示します。 0.71
Other GNN models exhibit similar trends. 他のGNNモデルも同様の傾向を示す。 0.68
First of all, compared to MLP, we observe that GNN has higher performance in the original task when using 2-hop queries. まず、MLPと比較して、2-hopクエリを使用する場合、GNNは元のタスクで高いパフォーマンスを示す。 0.75
For instance, on the Cora dataset, the baseline MLP achieves 0.684 accuracy while the GraphSAGE (2-hop) achieves 0.790 accuracy. 例えば、Coraデータセットでは、ベースラインのMLPは0.684の精度、GraphSAGE(2-hop)は0.790の精度である。 0.64
This demonstrates the efficacy of GNN models that consider nodes’ features as well as their neighborhood information jointly for classification. これは,ノードの特徴と周辺情報を共同で分類するGNNモデルの有効性を示す。 0.71
Second and more interestingly, 0-hop query on GraphSAGE also achieves better performance than MLP except for Citeseer. 第二に、graphsageの0-hopクエリはciteseerを除いてmlpよりも優れたパフォーマンスを実現している。 0.53
This indicates that the graph information used during the training phase can be generalized to boost the performance of a GNN model even when it is queried with only a node’s feature (0-hop query). これは、トレーニングフェーズで使用されるグラフ情報を一般化して、ノードの特徴のみを問合せ(0-hopクエリ)しても、GNNモデルの性能を高めることができることを示している。 0.72
4.3 0-hop and 2-hop Attacks We first show the membership inference attack performance of the 0-hop and 2-hop attacks in Table 3 and Table 4, respectively. 4.3 0-hop攻撃と2-hop攻撃 まず、テーブル3とテーブル4で0-hop攻撃と2-hop攻撃のメンバシップ推論攻撃性能を示す。 0.70
We find that compared to the 2-hop attack, the 0hop attack achieves higher membership inference accuracy. 2ホップ攻撃と比較して、0ホップ攻撃はより高いメンバーシップ推定精度を達成する。 0.60
For instance, the 0-hop attack on GraphSAGE trained on Cora achieves 0.754 accuracy while the accuracy of the corresponding 2-hop attack is only 0.671. 例えば、コラで訓練されたGraphSAGEの0ホップ攻撃は0.754の精度で、対応する2ホップ攻撃の精度は0.671である。 0.70
Such observations reveal that a node’s 2-hop query to the target GNN leaks less membership information of the node. このような観測により、ターゲットのGNNに対するノードの2ホップクエリは、ノードのメンバシップ情報が少ないことが明らかになった。 0.59
This observation is rather interesting since we show that the 2-hop query leads to better node classification accuracy in the original task (see Section 4.2). この観察は、2-hopクエリによって元のタスクのノード分類精度が向上することを示すので、かなり興味深い(セクション42参照)。 0.68
To investigate the reason behind this, we visualize the ratio その理由を調べるために 比率を視覚化し 0.65
6 CoraCiteseerCora-ful lLastfm0.30.40.50.60 .70.8AccuracyMLPGrap hSAGE(0-hop)GraphSAG E(2-hop) 6 CoraCiteseerCora-ful lLastfm0.30.40.50.70 .70.8AccuracyMLPGrap hSAGE(0-hop)GraphSAG E(2-hop) 0.61
英語(論文から抽出)日本語訳スコア
(a) Cora (b) Citeseer (a)コーラ (b)シテシーア 0.68
(c) Cora-full (d) Lastfm (c)コーラフル (d)Lastfm 0.75
Figure 3: The ratio of true positive (TP), false positive (FP), true negative (TN), and false negative (FP) of different attacks for GraphSAGE on four different datasets. 図3:4つの異なるデータセットにおけるGraphSAGEに対する異なる攻撃の真正(TP)、偽正(FP)、真負(TN)、偽負(FP)の比率。 0.70
The x-axis represents different attack types. x軸は異なる攻撃タイプを表す。 0.79
The y-axis represents the ratio. (a) GraphSAGE y軸は比を表す。 (a)グラフサージ 0.81
(b) GAT (c) GIN (b)GAT (c)GIN 0.80
Figure 4: The performance of 0-hop and 2-hop attacks for different GNN architectures on four different datasets under different overfitting levels. 図4: オーバーフィッティングレベルが異なる4つのデータセット上の異なるGNNアーキテクチャに対する0-hopと2-hopアタックのパフォーマンス。 0.76
The x-axis represents different overfitting levels. x軸はオーバーフィッティングレベルが異なる。 0.70
The y-axis represents membership inference attacks’ accuracy. y軸はメンバーシップ推論攻撃の精度を表す。 0.72
(a) Cora (b) Citeseer (a)コーラ (b)シテシーア 0.68
(c) Cora-full (d) Lastfm (c)コーラフル (d)Lastfm 0.75
Figure 5: AUC for 0-hop and 2-hop attacks on different groups of nodes categorized by degree on four different datasets. 図5: auc 0-hopおよび2-hop攻撃を4つの異なるデータセットで次々に分類するノードのグループに対して行う。 0.68
The architecture of both target and shadow model is GraphSAGE. ターゲットモデルとシャドウモデルの両方のアーキテクチャはGraphSAGEです。 0.77
The x-axis represents different groups, e.g, 0-25 means the group of nodes whose degrees are in the lowest 25% of the dataset. x軸は異なるグループを表し、例えば0-25は、度数がデータセットの最低25%にあるノードのグループを意味する。 0.83
The y-axis represents the AUC. y軸はAUCを表す。 0.67
• Degree. For a given node v, the degree of the node is 学位。 与えられたノード v に対して、そのノードの程度は 0.64
defined as the number of edges connected to it. エッジの数として定義されています 0.67
• Ego Density. Ego density measures the graph density • エゴ密度。 ego密度はグラフ密度を測定する 0.73
of a node v’s 2-hop subgraph g2(v). ノード v の 2-ホップ部分グラフ g2(v) について 0.78
• Feature Similarity. Feature similarity measures how similar a node v’s feature to nodes’ features in its 2-hop subgraph g2(v). • 特徴類似性。 特徴の類似性は、ノードvの機能と2ホップサブグラフg2(v)の機能との類似度を測定する。 0.82
Specifically, we calculate the similarity (cosine similarity) between the feature of v and the feature of each node in g2(v). 具体的には、v の特徴と各ノードの特徴との類似性(コサイン類似性)を g2(v) で計算する。 0.84
Then, we average all the similarity. そして、すべての類似点を平均化します。 0.64
7 Target and DTest 7 TargetとDTest 0.84
We categorize all the nodes in DTrain DTrainのすべてのノードを分類する 0.81
Target, i.e., the attack model’s testing dataset, into four different groups based on their degrees, ego density, and feature similarity, respectively. 攻撃モデルのテストデータセットであるターゲットは、それぞれ、その程度、自我密度、特徴の類似性に基づいて4つの異なるグループに分類される。 0.82
The results are summarized in Figure 5, Figure 6, and Figure 7. 結果は図5、図6、図7にまとめられています。 0.76
Note that the distribution of member and non-member nodes in each group is not uniform, thus we utilize AUC (area under the ROC curve) to measure the attack performance in each group as AUC is not sensitive to imbalanced classes [1, 17]. 各グループにおけるメンバーノードと非メンバーノードの分布は均一ではないので、AUCは不均衡なクラス [1, 17] に敏感ではないため、各グループにおける攻撃性能を測定するためにAUC(ROC曲線の下での領域)を利用する。 0.79
In general, we find that higher degree leads to lower AUC score for both 0-hop and 2-hop attacks (see Figure 5). 一般に、高次は0ホップと2ホップの両方のアタックに対してaucスコアを低くする(図5参照)。 0.59
For instance, for GraphSAGE trained on the Cora dataset, the 0-hop attack’s AUC is 0.849 on nodes in the lowest 25% degree group while the AUC is 0.775 in the たとえば、Coraデータセットで訓練されたGraphSAGEの場合、0ホップ攻撃のAUCは最低25%度のグループのノードで0.849であり、AUCは0.775です。 0.76
0-hop2-hopCombinedAt tackType0.00.10.20.3 0.40.5RatioTPFPTNFN0 -hop2-hopCombinedAtt ackType0.00.10.20.30 .40.5Ratio0-hop2-hop CombinedAttackType0. 00.10.20.30.40.5Rati o0-hop2-hopCombinedA ttackType0.00.10.20. 30.40.5Ratio0.20.30. 4OverfittingLevel0.650.700. 750.80AccuracyCoraCo raCiteseerCiteseerCo ra-fullCora-fullLast fmLastfm0-hop2-hop0. 20.3OverfittingLevel0.600.650. 700.750.80AccuracyCo raCoraCiteseerCitese erCora-fullCora-full LastfmLastfm0.20.30. 4OverfittingLevel0.600.650. 700.750.80AccuracyCo raCoraCiteseerCitese erCora-fullCora-full LastfmLastfm0-2525-5 050-7575-100Degree(% )0.700.750.800.85AUC 0-hop2-hop0-2525-505 0-7575-100Degree(%)0 .700.750.800.850.90A UC0-2525-5050-7575-1 00Degree(%)0.700.750 .800.85AUC0-2525-505 0-7575-100Degree(%)0 .600.650.700.75AUC 0-hop2-hopCombinedAt tackType0.00.10.20.3 0.40.5RatioTPFPTNFN0 -hop2-hopCombinedAtt ackType0.00.10.20.30 .40.5Ratio0-hop2-hop CombinedAttackType0. 00.10.20.30.40.5Rati o0-hop2-hopCombinedA ttackType0.00.10.20. 30.40.5Ratio0.20.30. 4OverfittingLevel0.650.700. 750.80AccuracyCoraCo raCiteseerCiteseerCo ra-fullCora-fullLast fmLastfm0-hop2-hop0. 20.3OverfittingLevel0.600.650. 700.750.80AccuracyCo raCoraCiteseerCitese erCora-fullCora-full LastfmLastfm0.20.30. 4OverfittingLevel0.600.650. 700.750.80AccuracyCo raCoraCiteseerCitese erCora-fullCora-full LastfmLastfm0-2525-5 050-7575-100Degree(% )0.700.750.800.85AUC 0-hop2-hop0-2525-505 0-7575-100Degree(%)0 .700.750.800.850.90A UC0-2525-5050-7575-1 00Degree(%)0.700.750 .800.85AUC0-2525-505 0-7575-100Degree(%)0 .600.650.700.75AUC 0.07
英語(論文から抽出)日本語訳スコア
err 翻訳エラー 0.00
英語(論文から抽出)日本語訳スコア
(a) Cora (b) Citeseer (a)コーラ (b)シテシーア 0.68
(c) Cora-full (d) Lastfm (c)コーラフル (d)Lastfm 0.75
Figure 8: The performance of membership inference attacks against different target models’ architectures on four different datasets. 図8: 4つの異なるデータセット上の異なるターゲットモデルのアーキテクチャに対するメンバシップ推論のパフォーマンス。 0.88
The x-axis represents different target models’ architectures. x軸は異なるターゲットモデルのアーキテクチャを表す。 0.80
The y-axis represents membership inference attacks’ accuracy. y軸はメンバーシップ推論攻撃の精度を表す。 0.72
(a) Non-members (b) Members (a)非会員 (b)会員 0.81
Figure 9: The average embeddings of non-member and member nodes obtained from the combined attack model’s hidden layer. 図9: 組み合わせた攻撃モデルの隠れた層から得られた非メンバーノードとメンバーノードの平均埋め込み。 0.83
Both the target and shadow models are GraphSAGE trained on Citeseer. ターゲットモデルとシャドーモデルの両方が、CiteseerでトレーニングされたGraphSAGEです。 0.56
The left (right) parts are the embeddings generated by the input of the 0-hop (2-hop) attack. 左(右)部分は0ホップ(2ホップ)攻撃の入力によって生成される埋め込みである。 0.80
wrongly by the 2-hop attack, the combined attack is able to follow the prediction of the 0-hop attack. 2ホップ攻撃の誤りにより、結合攻撃は0ホップ攻撃の予測に従うことができる。 0.72
On the other hand, when the non-member nodes are classified correctly by the 2-hop attack but wrongly by the 0-hop attack, the combined attack follows the prediction of the 2-hop attack as the right parts of the third row resemble the right parts of the first row. 一方、非メンバーノードが2ホップ攻撃によって正しく分類されるが、誤って0ホップ攻撃によって分類された場合、結合攻撃は第3行の右側が第1行の右側に似ているため、2ホップ攻撃の予測に続く。 0.77
We observe similar trends for member nodes (see Figure 9b). 会員ノードに関する同様の傾向を観測する(図9b参照)。 0.77
In conclusion, the combined attack has better performance since it takes the advantage of both 0-hop and 2-hop attacks. 結論として,0ホップ攻撃と2ホップ攻撃の両方の利点を生かして,複合攻撃の性能が向上した。 0.68
4.5 Relax Assumptions We further investigate whether the two key assumptions made by our attacks (see Section 3.2) can be relaxed: 1) the adversary has a shadow dataset that comes from the same distribution as the target dataset, 2) the adversary has a shadow model with the same architecture as the target model. 4.5 リラクサ推定 攻撃による2つの重要な仮定が緩和可能かどうかをさらに調査する(第3部2節参照)。1) 敵は目標データセットと同じ分布から来るシャドウデータセットを持ち、2) 敵はターゲットモデルと同じアーキテクチャを持つシャドウモデルを持っている。 0.77
Different Shadow Dataset Distribution. 異なるシャドウデータセット分布。 0.79
Table 5 shows the attack results when the shadow model is trained on a dataset from a different distribution. テーブル5は、異なるディストリビューションからデータセット上でシャドーモデルをトレーニングした場合のアタック結果を表示する。 0.75
We observe that in this case, our combined attack can still achieve similar or even better performance compared to the same distribution shadow dataset. この場合、同じ分散シャドウデータセットに対して、我々の攻撃が同じ、あるいはさらに優れたパフォーマンスを達成できることを観察します。 0.74
For instance, when the target model is GraphSAGE 例えば、ターゲットモデルがGraphSAGEである場合 0.76
Table 5: The performance of combined attacks when using different distribution shadow datasets to train the shadow models. 表5: 異なる分散シャドウデータセットを使用してシャドウモデルをトレーニングする場合の複合攻撃のパフォーマンス。 0.77
Both the target and shadow models’ architecture is GraphSAGE. ターゲットモデルとシャドウモデルの両方のアーキテクチャはGraphSAGEです。 0.78
Shadow Dataset シャドウデータセット 0.61
Target Dataset ターゲットデータセット 0.77
Cora Citeseer Cora-full Lastfm コラ Citeseer Cora-full Lastfm 0.63
Cora Citeseer Cora-full Lastfm コラ Citeseer Cora-full Lastfm 0.63
0.767 0.791 0.721 0.696 0.767 0.791 0.721 0.696 0.45
0.775 0.801 0.736 0.693 0.775 0.801 0.736 0.693 0.45
0.715 0.764 0.767 0.643 0.715 0.764 0.767 0.643 0.45
0.743 0.773 0.705 0.687 0.743 0.773 0.705 0.687 0.45
trained on Cora, the attack accuracy is 0.775 with Citeseer as the shadow dataset, while the accuracy is 0.767 with Cora as the shadow dataset. Coraで訓練された攻撃精度は0.775であり、Citeseerをシャドウデータセットとして、Coraをシャドウデータセットとして0.767である。 0.73
This shows that even the adversary does not have the same distribution shadow dataset, they can still launch effective membership inference. これは、敵が同じ分散シャドウデータセットを持っていない場合でも、効果的なメンバーシップ推論を起動できることを示しています。 0.56
We further extract the embeddings of members and nonmembers from two combined attack models (one corresponds to the same distribution shadow dataset, the other corresponds to the different distribution shadow dataset), and さらに、2つの複合攻撃モデルからメンバーと非メンバーの埋め込みを抽出する(一方は同じ分布影データセットに対応し、もう一方は異なる分布影データセットに対応する)。 0.83
9 GraphSageGATGINTarge tModel0.50.60.70.8Ac curacy0-hop2-hopComb inedGraphSageGATGINT argetModel0.50.60.70 .8AccuracyGraphSageG ATGINTargetModel0.50 .60.70.8AccuracyGrap hSageGATGINTargetMod el0.500.550.600.650. 70Accuracy0-hopEmbed dings2-hopEmbeddings hA0True,A2TrueihA0Tr ue,A2FalseihA0False, A2Truei0.00.81.62.43 .24.00-hopEmbeddings 2-hopEmbeddingshA0Tr ue,A2TrueihA0True,A2 FalseihA0False,A2Tru ei0.00.30.60.91.21.5 9 graphsagegatgintarge tmodel0.50.60.70.8ac curacy0-hop2-hopcomb inedgraphsagegatgint argetmodel0.50.60.70 .8accuracygraphsageg atgintargetmodel0.50 .500.550.600.650.70a ccuracy0-hopembeddin gs2-hopembeddingsha0 true,a2trueiha0true, a2falseiha0false,a2f alseiha0false,a2true i0.00.80.80.60.60.62 .43.24.00-hopembeddi ngs2-hopembeddingsha 0true,a2trueiha0true ,a2falseiha0false,a2 0.60.0-hopembeddings 2-hopembeddings2-hop embeddingsha0true,a2 falseiha0false 0.47
英語(論文から抽出)日本語訳スコア
Table 6: The performance of combined attacks when using different architectures to establish the shadow models. 表6: シャドウモデルを確立するために異なるアーキテクチャを使用する場合の複合攻撃のパフォーマンス。 0.83
The target model’s architecture is GraphSAGE. ターゲットモデルのアーキテクチャはGraphSAGEである。 0.71
Both the target and shadow training datasets are from the same distribution. ターゲットとシャドウのトレーニングデータセットはどちらも同じディストリビューションのものです。 0.72
Dataset GraphSAGE GIN データセット Graphsage GIN 0.69
Shadow Model Cora Citeseer Cora-full Lastfm 影モデル コラ Citeseer Cora-full Lastfm 0.66
0.767 0.801 0.767 0.687 0.767 0.801 0.767 0.687 0.45
0.759 0.798 0.753 0.683 0.759 0.798 0.753 0.683 0.45
GAT 0.742 0.760 0.717 0.688 GAT 0.742 0.760 0.717 0.688 0.65
(a) Cora as Shadow Dataset (a) シャドーデータセットとしてのコーラ 0.47
(b) Citeseer as Shadow Dataset (b) シャドーデータセットとしてのCiteseer 0.64
Figure 10: The embeddings of 100 randomly selected member and non-member nodes obtained from the combined attack’s hidden layer. 図10: ランダムに選択された100のメンバと、アタックの隠された層から得られる非メンバノードの埋め込み。 0.77
We project them into a 2-dimensional space using t-SNE. t-SNEで2次元空間に投影します。 0.75
The target model is GraphSAGE trained on Cora. ターゲットモデルはCoraでトレーニングされたGraphSAGEだ。 0.72
The two shadow models are GraphSAGE trained on Cora or Citeseer. 2つのシャドーモデルは、CoraまたはCiteseerで訓練されたGraphSAGEです。 0.60
Each point represents a node. 各ポイントはノードを表します。 0.74
project the embeddings into a 2-dimensional space using tSNE [42]. 埋め込みをtSNE[42]を使って2次元空間に投影する。 0.79
The results are shown in Figure 10. 結果は図10に示されます。 0.86
In both cases, member and non-member nodes are easily separable. いずれの場合も、メンバーノードと非メンバーノードは簡単に分離できます。 0.58
Different Shadow Model Architecture. 異なるシャドウモデルアーキテクチャ。 0.62
The results of using different shadow model architectures are summarized in Table 6. 異なるシャドウモデルアーキテクチャを使用した結果が表6にまとめられている。 0.79
We see that a shadow model with a different architecture from the target model still yields good attack performance. ターゲットモデルと異なるアーキテクチャを持つシャドウモデルでは、依然として優れた攻撃性能が得られます。 0.77
For instance, for GraphSAGE trained on Cora-full, the attack accuracy is 0.753 when the shadow model architecture is GIN while the original attack accuracy is 0.767. 例えば、Cora-fullで訓練されたGraphSAGEでは、シャドーモデルアーキテクチャがGIN、元の攻撃精度が0.767の場合、攻撃精度は0.753である。 0.70
We further investigate whether the different number of neurons in the shadow model affects the attack performance. さらに,影モデルにおけるニューロン数の違いが攻撃性能に与える影響についても検討する。 0.68
Concretely, we evaluate the case when the target model is GAT with 32 neurons in its hidden layer, and the shadow model is GraphSAGE with different numbers of neurons ranging from 16 to 128. 具体的には、ターゲットモデルが GAT で、隠れた層に 32 個のニューロンがあり、シャドーモデルが 16 から 128 までの異なる数のニューロンを持つ GraphSAGE の場合を評価します。 0.81
The results are depicted in Figure 11. 結果は図11に示されています。 0.77
We observe that the attack performance is relatively stable under different numbers of neurons. 異なるニューロン数で攻撃性能が比較的安定であることが観察された。 0.70
In conclusion, both the same distribution shadow dataset and same architecture shadow model assumptions can be relaxed, which further demonstrates the severe membership privacy risks of GNNs. 結論として、同じ分散シャドウデータセットと同じアーキテクチャシャドウモデル仮定の両方を緩和することができ、GNNの深刻なメンバーシッププライバシーリスクをさらに示します。 0.66
4.6 Possible Defenses To mitigate the membership inference attacks, we investigate two possible defense mechanisms, namely random edge addition and label-only output. 4.6 可能な防御 メンバーシップ推論攻撃を軽減するため、ランダムエッジの追加とラベルのみの出力という2つの防御メカニズムを検討する。 0.68
10 Figure 11: The performance of membership inference attacks when the target model is GAT with 32 neurons in its hidden layer and the shadow model is GraphSAGE with different numbers of neurons in its hidden layer. 10 図11: ターゲットモデルがGATで、隠れた層に32個のニューロンがあり、影モデルが隠された層に異なる数のニューロンを持つGraphSAGEである場合に、メンバーシップ推論のパフォーマンスが攻撃します。 0.78
The x-axis represents the number of neurons in the shadow model’s hidden layer. x軸は、影モデルの隠された層のニューロンの数を表す。 0.78
The y-axis represents membership inference attacks’ accuracy. y軸はメンバーシップ推論攻撃の精度を表す。 0.72
Random Edge Addition. ランダムエッジの追加。 0.73
In the first defense, we perturb the target training dataset’s graph structure by randomly adding edges. 最初の防御では、エッジをランダムに追加することで、ターゲットトレーニングデータセットのグラフ構造を乱します。 0.70
For the adversary, the shadow model is trained on the original shadow training dataset. 敵の場合、シャドウモデルは元のシャドウトレーニングデータセットでトレーニングされます。 0.69
We evaluate the target models’ performance with respect to the original classification task, i.e., utility, and the membership inference attack performance using the combined attacks. 対象モデルの性能を,もともとの分類タスク,すなわちユーティリティ,および複合攻撃を用いたメンバシップ推論攻撃性能について評価する。 0.74
Due to space limitations, we only show the results when both the target and shadow models use GraphSAGE as their architecture in Figure 12. スペース制限のため、ターゲットモデルとシャドウモデルの両方がGraphSAGEをアーキテクチャとして使用する場合のみ、図12で結果を示す。 0.85
Other models exhibit similar trends. 他のモデルも同様の傾向を示す。 0.68
In Figure 12c, we observe that with more random edges added, the attack performance indeed drops. 図12cでは、よりランダムなエッジを追加すると、攻撃性能が低下するのを観察します。 0.64
For instance, the membership inference accuracy is 0.801 on the original Citeseer dataset, while the accuracy drops to 0.660 when 20 times more edges are added. 例えば、会員推定精度はオリジナルのCiteseerデータセットで0.801であり、20倍のエッジを追加すると0.660に低下する。 0.73
This indicates that adding random edges to the target training dataset can protect nodes’ membership privacy. これは、ターゲットのトレーニングデータセットにランダムエッジを追加することで、ノードの会員プライバシーを保護することを示しています。 0.50
As shown in Figure 5, nodes with higher degree suffer less membership leakage risks, since the aggregation function of GNN during training aggregates more neighbor nodes’ information and “memorize” less about the target node itself. 図5に示すように、トレーニング中のGNNの集約機能により、隣接するノードの情報を集約し、ターゲットノード自体についてより少なく「記憶する」ため、より高いレベルのノードは、メンバーシップの漏洩リスクを少なくします。 0.65
On the other hand, the target models also suffer large utility loss as shown in Figure 12a and Figure 12b. 一方、ターゲットモデルも図12aと図12bに示すように大きな損失を被っている。 0.73
For instance, the accuracy of original classification task is 0.819 on the original Lastfm dataset using 2-hop query, while the accuracy decreases to 0.733 when 20 times more edges are added (the corresponding attack accuracy drops from 0.687 to 0.584). 例えば、元の分類タスクの精度は2-hopクエリを使用してLastfmデータセットの0.819であり、20倍のエッジを追加すると精度は0.733に低下する(対応する攻撃精度は0.687から0.584に低下する)。 0.73
Label-Only Output. For the second defense, we let the target model only return the prediction label instead of posteriors. ラベルのみの出力。 第2の防御のために、我々は対象モデルを後部ではなく予測ラベルのみを返す。 0.70
In this case, we assume that the adversary knows the total number of classes of the target model. この場合、敵は対象モデルのクラスの総数を知っていると仮定する。
訳抜け防止モード: この場合、我々は仮定します。 敵はターゲットモデルのクラスの合計数を知っている。
0.78
The adversary first converts the prediction labels derived from the 0-hop and 2- 相手はまず0ホップと2から派生した予測ラベルを変換する。 0.61
MemberNon-member1632 64128NumberofNeurons 0.500.550.600.650.70 0.750.800.85Accuracy CoraCiteseerCora-ful lLastfm MemberNon-member1632 64128NumberofNeurons 0.500.550.600.650.70 0.750.800.85Accuracy CoraCiteseerCora-ful lLastfm 0.09
英語(論文から抽出)日本語訳スコア
(a) Target Model Performance (0-hop) (a)ターゲットモデル性能(0-hop) 0.84
(b) Target Model Performance (2-hop) b)ターゲットモデル性能(2-hop) 0.86
(c) Attack Performance (Ac) (c)攻撃性能(Ac) 0.77
Figure 12: The performance of the target model’s original task and membership inference attacks when applying random edge addition as the defense. 図12: 防御としてランダムエッジの追加を適用すると、ターゲットモデルの元のタスクとメンバーシップ推論アタックのパフォーマンス。 0.83
The x-axis represents different proportions of edges added. x軸は、追加されるエッジの比率が異なる。 0.62
Here, 2× means randomly adding in total 2 times more edges in the target training dataset. ここで2×は、ターゲットトレーニングデータセットの合計2倍のエッジをランダムに追加することを意味する。 0.68
The y-axis represents the accuracy of the target models’ original classification tasks or membership inference attacks. y軸は、ターゲットモデルの元の分類タスクまたはメンバーシップ推論攻撃の精度を表します。 0.81
Note that we only show the results when GraphSAGE is used as the architecture for both target and shadow models. GraphSAGEがターゲットモデルとシャドウモデルの両方のアーキテクチャとして使用される場合にのみ、結果を示すことに注意してください。 0.67
(a) Cora (b) Citeseer (a)コーラ (b)シテシーア 0.68
(c) Cora-full (d) Lastfm (c)コーラフル (d)Lastfm 0.75
Figure 13: The performance of membership inference attacks when applying label-only output as the defense. 図13: 防御としてラベルのみの出力を適用する場合のメンバシップ推論のパフォーマンス。 0.78
The x-axis represents different target models’ architectures. x軸は異なるターゲットモデルのアーキテクチャを表す。 0.80
The y-axis represents the accuracy of membership inference attacks. y軸は、メンバーシップ推論攻撃の精度を表す。 0.71
hop queries into two one-hot vectors, respectively. クエリを2つの1ホットベクトルにホップする。 0.62
Then, the two vectors serve as the input to train the combined attack model Ac. そして、2つのベクトルは、結合した攻撃モデルacを訓練する入力として機能する。 0.69
The performance of membership inference attacks against different target models is shown in Figure 13. 異なるターゲットモデルに対するメンバーシップ推論攻撃のパフォーマンスを図13に示します。 0.81
We observe that on all the target models, membership inference attack accuracy decreases significantly. すべてのターゲットモデルにおいて、メンバシップ推論攻撃の精度は大幅に低下する。 0.63
For instance, on Cora-full, when both the target and shadow models’ architectures are GraphSAGE, the membership inference accuracy of the original combined attack is 0.767, while the accuracy drops to 0.537 after applying the label-only output defense. 例えば、Cora-fullでは、ターゲットモデルとシャドウモデルの両方のアーキテクチャがGraphSAGEの場合、元の結合攻撃のメンバシップ推論精度は0.767であり、ラベルのみの出力防御を適用した後、精度は0.537に低下する。 0.72
In addition, this defense can also limit the target model’s utility as labels contain less information than posteriors. さらにこのディフェンスは、ラベルが後部よりも少ない情報を含むため、ターゲットモデルのユーティリティを制限することもできる。 0.70
We note that previous work [11,28] investigate the label-only membership inference attack on non-GNN models. 前回の[11,28]では、非GNNモデルに対するラベルのみのメンバシップ推論攻撃を調査した。 0.59
However, its effectiveness on the proposed defense for GNN models remains unjustified and we leave it as our future work. しかし,提案したGNNモデルに対する防御効果は不当であり,今後の研究として残している。 0.79
In summary, our proposed defense mechanisms can reduce the risk of membership inference attack against GNN models. 要約すると,提案する防衛機構は,gnnモデルに対するメンバシップ推論攻撃のリスクを低減できる。 0.72
However, they both limit the target model’s utility. しかし、どちらもターゲットモデルの実用性を制限している。 0.74
In the future, we plan to investigate more advanced defense mechanisms. 将来的には、より高度な防衛メカニズムを調査する予定です。 0.73
5 Related Work Membership Inference Attack. 5 関連作業 メンバーシップ推論攻撃。 0.69
Membership inference attacks aim at inferring membership of individual training sam- 個別訓練サムの会員推定を目的とした会員推測攻撃 0.72
ples of a target model to which an adversary has black-box access through a prediction API [5, 9, 19, 28, 30, 31, 35, 36, 39, 51]. 敵が予測API(5,9,19,19,19,19, 30,30,31,35,36,39,51 )を介してブラックボックスアクセスを行うターゲットモデルのples。 0.77
Most of the existing attacks focus on deep learning models that are trained on sensitive data from the Euclidean space, such as images and texts. 既存の攻撃のほとんどは、画像やテキストなどのユークリッド空間からの機密データを訓練されたディープラーニングモデルに焦点を当てている。 0.70
Shokri et al. shokriとal。 0.68
[36] propose the first membership inference attack against machine learning models in the black-box setting. [36] ブラックボックス設定における機械学習モデルに対する最初のメンバーシップ推論攻撃を提案する。 0.82
The authors provide a general formulation of membership inference attack whereas the adversary trains multiple shadow models to mimic the target model’s behavior with certain background knowledge of training data and leverages many attack models to conduct the attack. 著者らは、メンバーシップ推論攻撃の一般的な定式化を提供する一方、敵は複数のシャドウモデルを訓練し、トレーニングデータの特定の背景知識と共にターゲットモデルの振る舞いを模倣し、攻撃を行うために多くの攻撃モデルを活用する。 0.70
Salem et al. Salem et al。 0.83
[35] further relax several key assumptions from [36], such as knowledge of the target model architecture, shadow dataset from the same distribution. 35] ターゲットモデルアーキテクチャの知識,同一ディストリビューションからのシャドウデータセットなど,[36] からのいくつかの重要な仮定をさらに緩和する。 0.77
Yeom et al. [51] discuss the relationship between overfitting and membership attacks. と言いました。 51]オーバーフィッティングとメンバーシップアタックの関係について論じる。 0.52
Nasr et al. Nasr et al。 0.80
[31] conduct a comprehensive study for membership inference attacks in both blackbox and white-box settings. 31] ブラックボックスとホワイトボックスの両方の設定でメンバーシップ推論攻撃に関する包括的な調査を行います。 0.67
To mitigate the attacks, some defense mechanisms [22,30,35,36] have been proposed. 攻撃を緩和するためにいくつかの防御機構[22,30,35,36]が提案されている。 0.55
Those strategies include using model stacking [35], dropout [35], adversarial training [30], jointly maximize privacy and prediction accuracy [22], etc. これらの戦略には、モデルスタック [35]、ドロップアウト [35]、敵対的トレーニング [30]、プライバシと予測精度を共同で最大化する[22]などが含まれる。 0.75
Other Exploratory Attacks Against ML Models. MLモデルに対する他の探索攻撃。 0.81
Besides membership inference, other exploratory attacks such as model inversion, attribute inference, and model stealing have been studied by many researchers. メンバーシップ推論の他に、モデル反転、属性推論、モデル盗みなどの他の探索攻撃が多くの研究者によって研究されている。 0.63
In model inversion attacks [16, 17, 52], an adversary aims to reconstruct input モデル反転攻撃[16, 17, 52]において,敵は入力を再構築することを目指す 0.77
11 Original1x2x5x10x20x AddedEdges0.50.60.70 .8AccuracyCoraCitese erCora-fullLastfmOri ginal1x2x5x10x20xAdd edEdges0.50.60.70.8A ccuracyOriginal1x2x5 x10x20xAddedEdges0.5 0.60.70.8AccuracyGra phSageGATGINTargetMo del0.000.250.500.751 .00AccuracyOriginalL abel-OnlyGraphSageGA TGINTargetModel0.000 .250.500.751.00Accur acyGraphSageGATGINTa rgetModel0.000.250.5 00.751.00AccuracyGra phSageGATGINTargetMo del0.000.250.500.751 .00Accuracy 11 Original1x2x5x10x20x AddedEdges0.50.60.70 .8AccuracyCoraCitese erCora-fullLastfmOri ginal1x2x5x10x20xAdd edEdges0.50.60.70.8A ccuracyOriginal1x5x1 0x20xAddedEdges0.50. 60.70.8AccuracyGraph SageGATGINTargetMode l0.000.250.751.00Acc uracyOriginalLabel-O nlyGraphSageGATGINTa rgetModel0.000.500.7 51.00AccuracyGraphSa geGAGargetModel0.000 .50.751.00AccuracyGr aphSageGargetModel0. 000.500.751。 0.43
英語(論文から抽出)日本語訳スコア
samples from a target ML model, i.e., model inversion enables the adversary to directly learn information about the training dataset. ターゲットMLモデルのサンプル、すなわちモデル逆転により、相手はトレーニングデータセットに関する情報を直接学習することができる。 0.82
Fredrikson et al. Fredriksonら。 0.58
[17] first propose a model inversion attack in the setting of drug dose classification. まず [17] 薬物使用量分類の設定において, モデル逆攻撃を提案する。 0.80
Later, Fredrikson et al. 後にFredriksonらも加わった。 0.59
[16] further extend model inversion to general ML settings relying on back-propagation. [16] バックプロパゲーションに依存したモデルインバージョンをさらに一般的なML設定に拡張する。 0.58
More recently, Zhang et al. 最近では、Zhangら。 0.50
[52] develop a more advanced attack based on GANs to synthesize the training dataset. [52] トレーニングデータセットを合成するためにgansに基づくより高度な攻撃を開発する。 0.73
Attribute inference attacks [29, 38] aim to infer some general properties of the training dataset. アトリビュート推論攻撃 [29, 38] はトレーニングデータセットの一般的なプロパティを推論することを目指している。
訳抜け防止モード: 属性推論攻撃[29, 38]目的 トレーニングデータセットの 一般的な性質を推測します
0.76
Meils et al. Meils et al。 0.77
[29] first show that collaborative machine learning can leak sensitive attributes about training data. 29] 最初に、協調機械学習がトレーニングデータに関する機密属性をリークできることを示します。 0.73
Song and Shmatikov [38] later demonstrate that having risks of attribute inference is an intrinsic feature of machine learning models, which is caused by overlearning. Song and Shmatikov [38] は後に、属性推論のリスクを持つことが機械学習モデルの本質的な特徴であることを示した。 0.81
The goal of model stealing attacks [21, 33, 41, 45] is to extract the parameters from a target model. モデル盗用攻撃 [21, 33, 41, 45] の目的は、ターゲットモデルからパラメータを抽出することです。 0.78
Tramer et al. Tramer et al。 0.79
[41] propose the first model stealing attack, with black-box access to the target model. [41] ターゲットモデルへのブラックボックスアクセスを備えた最初のモデル盗み攻撃を提案する。 0.88
Wang and Gong [45] propose hyperparameters stealing attacks for a variety of ML models, based on the observation that the gradient of the objective function at the value of parameters is close to 0. Wang and Gong [45]は、パラメータの値における客観的関数の勾配が0に近いという観測に基づいて、さまざまなMLモデルに対する攻撃を盗むハイパーパラメータを提案する。 0.89
More recently, Orekondy et al. 最近では、Orekondyら。 0.50
[33] propose a model stealing attack based on reinforcement learning, which relaxes assumptions on dataset and model architecture. [33] データセットとモデルアーキテクチャの仮定を緩和する強化学習に基づくモデル盗難攻撃を提案する。 0.80
Adversarial Attacks Against Graph Neural Networks. グラフニューラルネットワークに対する敵対的攻撃 0.74
Recent studies show that GNNs are susceptible to privacy and security attacks [4, 13, 46, 48, 53–55]. 最近の研究では、GNNはプライバシーとセキュリティの攻撃の影響を受けやすい [4, 13, 46, 48, 53–55]。 0.74
Most of these attacks against GNNs are causative attacks where the adversary can manipulate the training dataset by introducing adversarial perturbations to node features, graph structure, etc. これらのGNNに対する攻撃のほとんどは、ノード機能やグラフ構造などに逆の摂動を導入することで、敵がトレーニングデータセットを操作できる因果攻撃である。 0.68
In this direction, different adversarial attack strategies have been investigated. この方向では、異なる攻撃戦略が検討されている。 0.73
Zügner et al. [54] design adversarial examples on attributed graphs. Zügnerら。 54] 属性付きグラフの逆例をデザインする。 0.67
Bojchevski et al. Bojchevskiら。 0.57
[4] construct poisoning attacks on unsupervised node embeddings based on random walks. 4]ランダムウォークに基づく教師なしノード埋め込みに対する中毒攻撃の構築。 0.72
Wang and Gong [46] perform the study on an adversarial attack for collective classification. Wang and Gong [46] は集団分類のための敵対攻撃の研究を行う。 0.83
Zügner and Günnemann [55] introduce training time attacks on GNNs. ZügnerとGünnemann [55]はGNNに対する訓練時間攻撃を導入した。 0.74
The emerging GNN models [18, 44, 50] enable the adversary to launch exploratory attacks. 新興のGNNモデル[18, 44, 50]は、敵が探索攻撃を開始することを可能にする。 0.68
Unlike the causative attacks, these attacks do not intend to change the parameters of the target models. 因果攻撃とは異なり、これらの攻撃はターゲットモデルのパラメータを変更するつもりはない。 0.75
Instead, the adversary probes the target models with carefully crafted input data and learn from the responses. その代わりに、敵はターゲットモデルを注意深く作った入力データで調査し、応答から学習する。 0.69
Though exploratory attacks on classical machine learning models have been extensively studied [16,17,21,29,33,38,41 ,45,52], only a few studies focus on exploratory attacks on GNNs [14,20,32,47]. 古典的機械学習モデルに対する探索攻撃は広く研究されている [16,17,21,29,33,38,41 ,45,52] が、GNNに対する探索攻撃 [14,20,32,47] に焦点を当てた研究はごくわずかである。 0.49
He et al. [20] propose the first link stealing attack to infer whether there is an edge between two nodes used to train the target GNN model. と言いました。 [20]ターゲットGNNモデルのトレーニングに使用する2つのノード間にエッジが存在するかどうかを推測する最初のリンク盗難攻撃を提案する。 0.56
Wu et al. [47] focus on the GCN model extraction attack given various levels of background knowledge. 武等。 47] 背景知識のさまざまなレベルが与えられたGCNモデル抽出攻撃に焦点を当てます。 0.59
Duddu et al. Duddu et al. 0.85
[14] and Olatunji et al. [14]とOlatunji et al。 0.69
[32] have performed some preliminary studies on node-level membership inference attacks against GNNs. 32]GNNに対するノードレベルメンバシップ推論攻撃に関する予備的研究を行った。 0.67
However, Duddu et al. しかし、duddu et al。 0.55
[14] lack a clear attack methodology. 14] 明確な攻撃方法が欠けている。 0.76
Olatunji et al. オラトゥンジとアル。 0.50
[32] only conduct attacks in a restricted scenario, i.e., using a target node’s 2-hop subgraph to query the target model to obtain the input to their attack model, which is deficient to provide a complete picture of [32] 対象ノードの2-hopサブグラフを使用してターゲットモデルをクエリし、攻撃モデルへの入力を取得するという制限されたシナリオでのみ攻撃を行う。
訳抜け防止モード: [32 ]制限されたシナリオでのみ攻撃を行う。 ターゲットノードの2ホップサブグラフを使用して、ターゲットモデルをクエリして、攻撃モデルへの入力を取得する。 完全な写真を提供するには不十分です
0.73
the membership inference risks stemming from GNNs. GNNsに起因するメンバーシップ推論のリスク。 0.65
Also, compared to these work, we further perform an in-depth analysis of the factors that influence the attack performance, such as ego density and feature similarity, and investigate two defenses. また,これらの研究と比較して,エゴ密度や特徴類似性などの攻撃性能に影響を与える要因を深く分析し,2つの防御について検討した。 0.85
We refer the audience to other works [8,13,24,40,49] for comprehensive surveys of existing adversarial attacks and defenses on GNNs. 我々は、GNNに対する既存の敵攻撃と防衛に関する包括的調査のための他の研究 [8,13,24,40,49] を参照する。 0.51
6 Conclusion In this paper, we perform a comprehensive privacy risk assessment of graph neural networks through the lens of node-level membership inference attacks. 6結論 本論文では,ノードレベルのメンバシップ推論攻撃のレンズを通して,グラフニューラルネットワークの包括的プライバシーリスク評価を行う。 0.84
We systematically define the threat model along three dimensions, including shadow dataset, shadow model, and node topology, and propose three different attack models. シャドーデータセット、シャドウモデル、ノードトポロジーを含む3次元の脅威モデルを体系的に定義し、3つの異なる攻撃モデルを提案する。 0.79
We conduct extensive experiments on three popular GNN models over four benchmark datasets. 我々は4つのベンチマークデータセットで3つの人気のあるGNNモデルについて広範な実験を行った。 0.54
Our evaluation results show that GNNs are indeed vulnerable to membership inference attacks even with minimal background knowledge of an adversary. 評価の結果,GNNは敵の背景知識を最小限に抑えつつも,メンバーシップ推論攻撃に対して脆弱であることが明らかとなった。 0.57
Moreover, our analysis reveals that a node’s degree, ego density, and feature similarity have a large impact with respect to the attack performance. さらに,本解析により,ノードの次数,自我密度,特徴類似性が攻撃性能に大きな影響を与えることが明らかとなった。 0.80
We further show that the attacks are still effective even the adversary does not have the same distribution shadow dataset or same architecture shadow model. さらに,同じ分散シャドウデータセットや同じアーキテクチャシャドウモデルを持っていない敵であっても,攻撃は依然として有効であることを示す。
訳抜け防止モード: さらに攻撃が効果的であることを示します 敵でさえ同じ分散シャドウデータセットや同じアーキテクチャシャドウモデルを持っていません。
0.75
To mitigate the attacks, we propose two possible defense mechanisms and discuss their trade-offs between membership privacy and model utility. 攻撃を緩和するため,我々は2つの防衛メカニズムを提案し,メンバーシッププライバシとモデルユーティリティのトレードオフについて議論する。 0.63
References [1] Michael Backes, Mathias Humbert, Jun Pang, and Yang Inferring Social Links from Zhang. 参照[1]Michael Backes、Mathias Humbert、Jun Pang、Yang Inferring Social Links from Zhang。
訳抜け防止モード: 参考資料 [1 ] Michael Backes, Mathias Humbert, Jun Pang, とYangがZhangからソーシャルリンクを推論する。
0.82
walk2friends: In ACM SIGSAC Conference on Mobility Profiles. walk2friends: ACM SIGSAC Conference on Mobility Profilesで。 0.89
Computer and Communications Security (CCS), pages 1943–1957. Computer and Communications Security (CCS) 1943–1957頁。 0.86
ACM, 2017. 2017年、ACM。 0.87
1, 7 [2] Lars Backstrom, Cynthia Dwork, and Jon Kleinberg. 1, 7 [2] Lars Backstrom、Cynthia Dwork、Jon Kleinberg。 0.75
Wherefore Art Thou R3579X? Art Thou R3579Xはどこですか? 0.53
Anonymized Social Networks, Hidden Patterns, and Structural Steganography. 匿名化社会ネットワーク、隠れパターン、構造ステレオグラフィー。 0.76
In International Conference on World Wide Web (WWW), pages 181–190. ワールドワイドウェブに関する国際会議(WWW)で、181-190ページ。 0.85
ACM, 2007. 2007年、ACM。 0.85
1 [3] Aleksandar Bojchevski and Stephan Günnemann. 1 3]Aleksandar Bojchevski氏とStephan Günnemann氏。 0.81
Deep Gaussian Embedding of Graphs: Unsupervised Inductive Learning via Ranking. Deep Gaussian Embedding of Graphs: Unsupervised Inductive Learning via Ranking (英語) 0.86
In International Conference on Learning Representations (ICLR), 2018. International Conference on Learning Representations (ICLR) 2018に参加。 0.76
2, 5 [4] Aleksandar Bojchevski and Stephan Günnemann. 2, 5 4]Aleksandar Bojchevski氏とStephan Günnemann氏。 0.81
Adversarial Attacks on Node Embeddings via Graph Poisoning. Graph PoisoningによるNode Embeddingsの敵対攻撃。 0.80
In International Conference on Machine Learning (ICML), pages 695–704. 機械学習に関する国際会議(ICML)で、695-704ページ。 0.82
PMLR, 2019. 2019年、PMLR。 0.72
12 [5] Nicholas Carlini, Chang Liu, Úlfar Erlingsson, Jernej Kos, and Dawn Song. 12 ニコラス・カーリーニ、チャン・リウ、アルファー・エルリングソン、ジャーニー・コス、ドーン・ソング。 0.65
The Secret Sharer: Evaluating and Testing Unintended Memorization in Neural Networks. 秘密共有:ニューラルネットワークにおける意図しない記憶の評価とテスト。 0.71
In USENIX Security Symposium (USENIX Security), pages 267–284. USENIX Security Symposium (USENIX Security)で、267-284ページ。 0.91
USENIX, 2019. 2019年、UENIX。 0.85
1, 11 [6] Nicholas Carlini, Florian Tramèr, Eric Wallace, Matthew Jagielski, Ariel Herbert-Voss, Katherine Lee, 1, 11 6] Nicholas Carlini, Florian Tramèr, Eric Wallace, Matthew Jagielski, Ariel Herbert-Voss, Katherine Lee, 0.86
12 12 0.85
英語(論文から抽出)日本語訳スコア
Adam Roberts, Tom B. アダム・ロバーツ、トム・B。 0.60
Brown, Dawn Song, Úlfar Erlingsson, Alina Oprea, and Colin Raffel. Brown、Dawn Song、Olfar Erlingsson、Alina Oprea、Colin Raffel。 0.62
Extracting Training Data from Large Language Models. 大規模言語モデルからトレーニングデータを抽出する。 0.74
CoRR abs/2012.07805, 2020. CoRR abs/2012.07805, 2020 0.74
1 [7] Dingfan Chen, Ning Yu, Yang Zhang, and Mario Fritz. 1 [7]Dingfan Chen、Ning Yu、Yang Zhang、Mario Fritz。 0.74
GAN-Leaks: A Taxonomy of Membership Inference Attacks against Generative Models. GAN-Leaks: 生成モデルに対するメンバシップ推論攻撃の分類。 0.77
In ACM SIGSAC Conference on Computer and Communications Security (CCS), pages 343–362. ACM SIGSAC Conference on Computer and Communications Security (CCS) において343–362頁。 0.90
ACM, 2020. ACM、2020年。 0.86
1 [8] Liang Chen, Jintang Li, Jiaying Peng, Tao Xie, Zengxu Cao, Kun Xu, Xiangnan He, and Zibin Zheng. 1 [8] Liang Chen、Jintang Li、Jiaying Peng、Tao Xie、Zengxu Cao、Kun Xu、Xiangnan He、Zibin Zheng。 0.77
A Survey of Adversarial Learning on Graphs. グラフ上での敵対的学習に関する調査 0.69
CoRR abs/2003.05730, 2020. CoRR abs/2003.05730, 2020 0.74
12 [9] Qingrong Chen, Chong Xiang, Minhui Xue, Bo Li, Nikita Borisov, Dali Kaarfar, and Haojin Zhu. 12 9] Qingrong Chen、Chong Xiang、Minhui Xue、Bo Li、Nikita Borisov、Dali Kaarfar、およびHaojin Zhu。 0.77
Differentially Private Data Generative Models. 異なるプライベートデータ生成モデル。 0.70
CoRR abs/1812.02274, 2018. CoRR abs/1812.02274, 2018 0.69
11 [10] Eunjoon Cho, Seth A. Myers, and Jure Leskovec. 11 [10]Eunjoon Cho、Seth A. Myers、Jure Leskovec。 0.76
Friendship and Mobility: User Movement in Locationbased Social Networks. フレンドシップとモビリティ:ロケーションベースのソーシャルネットワークにおけるユーザーの動き。 0.64
In ACM Conference on Knowledge Discovery and Data Mining (KDD), pages 1082– 1090. 知識発見とデータマイニングに関するACM会議(KDD)で、1082-1090ページ。 0.75
ACM, 2011. 2011年、ACM。 0.87
1 [11] Christopher A. Choquette Choo, Florian Tramèr, Nicholas Carlini, and Nicolas Papernot. 1 11] Christopher A. Choquette Choo、Florian Tramèr、Nicholas Carlini、Nicolas Papernot。 0.78
Label-Only Membership Inference Attacks. ラベル専用メンバーシップ推論攻撃。 0.70
CoRR abs/2007.14321, 2020. CoRR abs/2007.14321, 2020 0.73
11 [12] David J. Crandall, Lars Backstrom, Dan Cosley, Siddharth Suri, Daniel Huttenlocher, and Jon Kleinberg. 11 David J. Crandall氏、Lars Backstrom氏、Dan Cosley氏、Siddharth Suri氏、Daniel Huttenlocher氏、Jon Kleinberg氏。 0.78
Inferring Social Ties from Geographic Coincidences. 地理コインシデンスから社会的タイを推測する。 0.51
Proceedings of the National Academy of Sciences, 2010. 2010年、国立科学アカデミー卒業。 0.49
1 [13] Hanjun Dai, Hui Li, Tian Tian, Xin Huang, Lin Wang, Jun Zhu, and Le Song. 1 13]Hanjun Dai、Hui Li、Tian Tian、Xin Huang、Lin Wang、Jun Zhu、Le Song。 0.75
Adversarial Attack on Graph Structured Data. グラフ構造データに対する敵対攻撃。 0.76
In International Conference on Machine Learning (ICML), pages 1123–1132. 機械学習に関する国際会議(ICML)で、ページ1123-1132。 0.81
PMLR, 2018. 2018年、PMLR。 0.68
12 [14] Vasisht Duddu, Antoine Boutet, and Virat Shejwalkar. 12 14] Vasisht Duddu、Antoine Boutet、Virat Shejwalkar。 0.73
Quantifying Privacy Leakage in Graph Embedding. グラフ埋め込みにおけるプライバシーリークの定量化。 0.58
CoRR abs/2010.00906, 2020. CoRR abs/2010.00906, 2020 0.74
1, 12 [15] David Easley and Jon Kleinberg. 1, 12 15] David EasleyとJon Kleinberg。 0.76
Networks, Crowds, and Markets: Reasoning About a Highly Connected World. ネットワーク、群衆、市場:高度に接続された世界に関する推論。 0.80
Cambridge University Press, 2010. ケンブリッジ大学出版局、2010年。 0.61
1, 4, 8 [16] Matt Fredrikson, Somesh Jha, and Thomas Ristenpart. 1, 4, 8 16] Matt Fredrikson、Somesh Jha、Thomas Ristenpart。 0.75
Model Inversion Attacks that Exploit Confidence Information and Basic Countermeasures. 信頼情報と基本的な対策を打破するモデル反転攻撃 0.80
In ACM SIGSAC Conference on Computer and Communications Security (CCS), pages 1322–1333. ACM SIGSAC Conference on Computer and Communications Security (CCS) において、1322–1333頁。 0.83
ACM, 2015. 2015年、ACM。 0.88
1, 11, 12 [17] Matt Fredrikson, Eric Lantz, Somesh Jha, Simon Lin, David Page, and Thomas Ristenpart. 1, 11, 12 Matt Fredrikson氏、Eric Lantz氏、Somesh Jha氏、Simon Lin氏、David Page氏、Thomas Ristenpart氏。 0.80
Privacy in Pharmacogenetics: An End-to-End Case Study of Personalized Warfarin Dosing. 薬物遺伝学におけるプライバシー:パーソナライズワーファリン投与のエンドツーエンドケーススタディ。 0.67
In USENIX Security Symposium (USENIX Security), pages 17–32. USENIX Security Symposium(USENIX Security)で、17-32ページ。 0.88
USENIX, 2014. 2014年、USENIX。 0.90
7, 11, 12 [18] William L. Hamilton, Zhitao Ying, and Jure Leskovec. 7, 11, 12 [18]William L. Hamilton、Zhitao Ying、Jure Leskovec。 0.79
Inductive Representation Learning on Large Graphs. 大規模グラフの帰納的表現学習 0.71
In Annual Conference on Neural Information Processing Systems (NIPS), pages 1025–1035. ニューラル情報処理システムに関する年次会議(NIPS)で、1025-1035ページ。 0.79
NIPS, 2017. 2017年、NIPS。 0.86
1, 2, 3, 4, 12 1, 2, 3, 4, 12 0.85
[19] Jamie Hayes, Luca Melis, George Danezis, and Emiliano De Cristofaro. 19]Jamie Hayes, Luca Melis, George Danezis, Emiliano de Cristofaro。 0.69
LOGAN: Evaluating Privacy Leakage of Generative Models Using Generative Adversarial Networks. logan: 生成型adversarial networkを用いた生成モデルのプライバシー漏洩評価。 0.76
Symposium on Privacy Enhancing Technologies Symposium, 2019. プライバシー・エンハンシング・テクノロジー・シンポジウム、2019年。 0.37
1, 11 [20] Xinlei He, Jinyuan Jia, Michael Backes, Neil Zhenqiang Gong, and Yang Zhang. 1, 11 20] Xinlei He、Jinyuan Jia、Michael Backes、Neil Zhenqiang Gong、Yang Zhang。 0.74
Stealing Links from Graph Neural Networks. グラフニューラルネットワークからリンクを盗む。 0.75
In USENIX Security Symposium (USENIX Security). USENIX Security Symposium(USENIX Security)に参加。 0.85
USENIX, 2021. UENIX, 2021年。 0.88
1, 3, 12 [21] Matthew Jagielski, Nicholas Carlini, David Berthelot, Alex Kurakin, and Nicolas Papernot. 1, 3, 12 Matthew Jagielski氏、Nicholas Carlini氏、David Berthelot氏、Alex Kurakin氏、Nicolas Papernot氏。 0.80
High Accuracy and High Fidelity Extraction of Neural Networks. ニューラルネットワークの高精度・高忠実度抽出 0.61
In USENIX Security Symposium (USENIX Security), pages 1345–1362. USENIX Security Symposium(USENIX Security)で、1345-1362ページ。 0.89
USENIX, 2020. USENIX、2020年。 0.88
12 [22] Jinyuan Jia, Ahmed Salem, Michael Backes, Yang Zhang, and Neil Zhenqiang Gong. 12 [22]Jinyuan Jia、Ahmed Salem、Michael Backes、Yang Zhang、Neil Zhenqiang Gong。 0.75
MemGuard: Defending against Black-Box Membership Inference AtIn ACM SIGSAC tacks via Adversarial Examples. MemGuard: Adversarial Examplesを介してACM SIGSACタックでブラックボックスメンバーシップ推論に対する防御。 0.82
Conference on Computer and Communications Security (CCS), pages 259–274. Conference on Computer and Communications Security (CCS) 259–274頁。 0.84
ACM, 2019. 2019年、ACM。 0.87
11 [23] Jinyuan Jia, Binghui Wang, Le Zhang, and Neil Zhenqiang Gong. 11 [23] Jinyuan Jia、Binghui Wang、Le Zhang、およびNeil Zhenqiang Gong。 0.80
AttriInfer: Inferring User Attributes in Online Social Networks Using Markov Random Fields. AttriInfer: Markov Random Fieldsを使用したオンラインソーシャルネットワークのユーザ属性を推論する。 0.71
In International Conference on World Wide Web (WWW), pages 1561–1569. ワールドワイドウェブに関する国際会議(WWW)で、1561-1569ページ。 0.83
ACM, 2017. 2017年、ACM。 0.87
1 [24] Wei Jin, Yaxin Li, Han Xu, Yiqi Wang, and Jiliang Tang. 1 [24] Wei Jin、Yaxin Li、Han Xu、Yiqi Wang、Jiliang Tang。 0.77
Adversarial Attacks and Defenses on Graphs: A Review and Empirical Study. グラフ上の敵対的攻撃と防衛:レビューと実証的研究。 0.74
CoRR abs/2003.00653, 2020. CoRR abs/2003.00653, 2020 0.74
12 [25] Thomas N. Kipf and Max Welling. 12 25]トーマス・n・キップとマックス・ウェリング 0.74
Semi-Supervised Classification with Graph Convolutional Networks. グラフ畳み込みネットワークを用いた半教師付き分類 0.63
In International Conference on Learning Representations (ICLR), 2017. 2017年、ICLR(International Conference on Learning Representations)に参加。 0.86
1, 2, 3, 4, 5 1, 2, 3, 4, 5 0.85
[26] Klas Leino and Matt Fredrikson. 26] Klas LeinoとMatt Fredrikson。 0.72
Stolen Memories: Leveraging Model Memorization for Calibrated White-Box Membership Inference. Stolen Memories: キャリブレーションされたホワイトボックスメンバーシップ推論のためのモデル記憶の活用。 0.59
In USENIX Security Symposium (USENIX Security), pages 1605–1622. USENIX Security Symposium(USENIX Security)で、1605-1622ページ。 0.87
USENIX, 2020. USENIX、2020年。 0.88
1 [27] Jure Leskovec, Anand Rajaraman, and Jeffrey David Ullman. 1 27] Jure Leskovec、Anand Rajaraman、Jeffrey David Ullman。 0.73
Mining of Massive Datasets. 大規模データセットのマイニング。 0.64
Cambridge University Press, 2014. ケンブリッジ大学出版局、2014年。 0.58
1 [28] Zheng Li and Yang Zhang. 1 [28] Zheng LiとYang Zhang。 0.81
Label-Leaks: Membership Inference Attack with Label. Label-Leaks: Labelによるメンバシップ推論攻撃。 0.69
CoRR abs/2007.15528, 2020. CoRR abs/2007.15528, 2020 0.73
11 [29] Luca Melis, Congzheng Song, Emiliano De Cristofaro, and Vitaly Shmatikov. 11 [29] Luca Melis、Congzheng Song、Emiliano De Cristofaro、Vitaly Shmatikov。 0.77
Exploiting Unintended Feature In IEEE SympoLeakage in Collaborative Learning. 共同学習におけるIEEE SympoLeakageの意図しない機能を公開する。 0.55
sium on Security and Privacy (S&P), pages 497–512. sium on Security and Privacy (S&P)、ページ497–512。 0.86
IEEE, 2019. IEEE、2019年。 0.86
1, 12 13 1, 12 13 0.85
英語(論文から抽出)日本語訳スコア
[30] Milad Nasr, Reza Shokri, and Amir Houmansadr. 30] Milad Nasr、Reza Shokri、Amir Houmansadr。 0.61
Machine Learning with Membership Privacy using Adversarial Regularization. Adversarial Regularization を用いた会員プライバシによる機械学習 0.73
In ACM SIGSAC Conference on Computer and Communications Security (CCS), pages 634–646. ACM SIGSAC Conference on Computer and Communications Security (CCS) では、634-646ページ。 0.90
ACM, 2018. 2018年、ACM。 0.85
11 [31] Milad Nasr, Reza Shokri, and Amir Houmansadr. 11 [31]Milad Nasr、Reza Shokri、Amir Houmansadr。 0.73
Comprehensive Privacy Analysis of Deep Learning: Passive and Active White-box Inference Attacks against Centralized and Federated Learning. ディープラーニングの包括的プライバシ分析: 集中学習とフェデレーション学習に対するパッシブかつアクティブなホワイトボックス推論攻撃。 0.78
In IEEE Symposium on Security and Privacy (S&P), pages 1021–1035. IEEE Symposium on Security and Privacy (S&P) には1021-1035ページがある。 0.81
IEEE, 2019. IEEE、2019年。 0.86
11 [32] Iyiola E. Olatunji, Wolfgang Nejdl, and Megha Khosla. 11 [32] Iyiola E. Olatunji、Wolfgang Nejdl、Megha Khosla。 0.76
Membership Inference Attack on Graph Neural Networks. グラフニューラルネットワークにおけるメンバシップ推論攻撃 0.72
CoRR abs/2101.06570, 2021. CoRR abs/2101.06570, 2021。 0.67
1, 12 [33] Tribhuvanesh Orekondy, Bernt Schiele, and Mario Fritz. 1, 12 33] Tribhuvanesh Orekondy、Bernt Schiele、Mario Fritz。 0.72
Knockoff Nets: Stealing Functionality of BlackBox Models. knockoff nets: blackboxモデルの機能を盗む。 0.77
In IEEE Conference on Computer Vision and Pattern Recognition (CVPR), pages 4954–4963. IEEE Conference on Computer Vision and Pattern Recognition (CVPR)において、4954-4963ページ。 0.85
IEEE, 2019. IEEE、2019年。 0.86
12 [34] Benedek Rozemberczki and Rik Sarkar. 12 [34] Benedek RozemberczkiとRik Sarkar。 0.80
Characteristic Functions on Graphs: Birds of a Feather, from Statistical Descriptors to Parametric Models. グラフ上の特徴関数:統計記述子からパラメトリックモデルまでの羽の鳥。 0.79
In ACM International Conference on Information and Knowledge Management (CIKM), pages 1325–1334. ACM International Conference on Information and Knowledge Management (CIKM) において、1325-1334頁。 0.86
ACM, 2020. ACM、2020年。 0.86
2, 5 [35] Ahmed Salem, Yang Zhang, Mathias Humbert, Pascal Berrang, Mario Fritz, and Michael Backes. 2, 5 Ahmed Salem氏、Yang Zhang氏、Mathias Humbert氏、Pascal Berrang氏、Mario Fritz氏、Michael Backes氏。 0.77
ML-Leaks: Model and Data Independent Membership Inference Attacks and Defenses on Machine Learning Models. ML-Leaks: 機械学習モデルにおけるモデルとデータ独立メンバシップ推論攻撃と防御。 0.84
In Network and Distributed System Security Symposium (NDSS). In Network and Distributed System Security Symposium (NDSS) に参加。 0.88
Internet Society, 2019. 2019年、インターネット・ソサエティ。 0.62
1, 3, 4, 5, 6, 11 1, 3, 4, 5, 6, 11 0.85
[36] Reza Shokri, Marco Stronati, Congzheng Song, and Vitaly Shmatikov. [36]Reza Shokri, Marco Stronati, Congzheng Song, Vitaly Shmatikov 0.67
Membership Inference Attacks Against Machine Learning Models. 機械学習モデルに対するメンバーシップ推論攻撃。 0.80
In IEEE Symposium on Security and Privacy (S&P), pages 3–18. IEEEのセキュリティとプライバシーに関するシンポジウム(S&P)で、3-18ページ。 0.77
IEEE, 2017. 2017年、IEEE。 0.63
1, 3, 4, 5, 6, 11 1, 3, 4, 5, 6, 11 0.85
[37] Congzheng Song and Vitaly Shmatikov. [37] congzheng song と vitaly shmatikov。 0.74
Auditing Data Provenance in Text-Generation Models. テキスト生成モデルにおけるデータ伝達の監査 0.68
In ACM Conference on Knowledge Discovery and Data Mining (KDD), pages 196–206. ACM Conference on Knowledge Discovery and Data Mining (KDD)で、196–206頁。 0.80
ACM, 2019. 2019年、ACM。 0.87
1 [38] Congzheng Song and Vitaly Shmatikov. 1 [38] congzheng song と vitaly shmatikov。 0.79
Overlearning Reveals Sensitive Attributes. 過剰学習は官能的な属性を示す。 0.34
In International Conference on Learning Representations (ICLR), 2020. iclr(international conference on learning representations)、2020年。 0.67
1, 12 [39] Congzheng Song and Reza Shokri. 1, 12 [39] Congzheng SongとReza Shokri。 0.80
Membership Encoding for Deep Learning. ディープラーニングのためのメンバシップエンコーディング。 0.63
In ACM Asia Conference on Computer and Communications Security (ASIACCS), pages 344–356. ACM Asia Conference on Computer and Communications Security (ASIACCS)で、344-356ページ。 0.85
ACM, 2020. ACM、2020年。 0.86
11 [40] Lichao Sun, Yingtong Dou, Carl Yang, Ji Wang, Philip S. Yu, Lifang He, and Bo Li. 11 [40]Lichao Sun、Yingtong Dou、Carl Yang、Ji Wang、Philip S. Yu、Lifang He、Bo Li。 0.77
Adversarial Attack and Defense on Graph Data: A Survey. グラフデータに対する敵対的攻撃と防衛: 調査。 0.73
CoRR abs/1812.10528, 2018. CORR abs/1812.10528, 2018 0.67
12 [41] Florian Tramèr, Fan Zhang, Ari Juels, Michael K. Reiter, and Thomas Ristenpart. 12 41] Florian Tramèr、Fan Zhang、Ari Juels、Michael K. Reiter、Thomas Ristenpart。 0.78
Stealing Machine LearnIn USENIX Secuing Models via Prediction APIs. Stealing Machine Learn予測APIによるUSENIXのScuing Models。 0.86
rity Symposium (USENIX Security), pages 601–618. rity Symposium (USENIX Security) 601-618頁。 0.78
USENIX, 2016. 2016年、USENIX。 0.89
12 [42] Laurens van der Maaten and Geoffrey Hinton. 12 [42] Laurens van der Maaten と Geoffrey Hinton。 0.84
Visualizing Data using t-SNE. t-SNEによるデータの可視化 0.53
Journal of Machine Learning Research, 2008. Journal of Machine Learning Research, 2008 (英語) 0.78
10 [43] Ashish Vaswani, Noam Shazeer, Niki Parmar, Jakob Uszkoreit, Llion Jones, Aidan N. Gomez, Lukasz Kaiser, and Illia Polosukhin. 10 43] Ashish Vaswani, Noam Shazeer, Niki Parmar, Jakob Uszkoreit, Llion Jones, Aidan N. Gomez, Lukasz Kaiser, Illia Polosukhin 0.79
Attention is All you Need. 注意はあなたが必要とするすべてです。 0.61
In Annual Conference on Neural Information Processing Systems (NIPS), pages 5998–6008. 神経情報処理システムに関する年次会議(NIPS)で、5998-6008ページ。 0.81
NIPS, 2017. 2017年、NIPS。 0.86
3 [44] Petar Velickovic, Guillem Cucurull, Arantxa Casanova, Adriana Romero, Pietro Liò, and Yoshua Bengio. 3[44] Petar Velickovic, Guillem Cucurull, Arantxa Casanova, Adriana Romero, Pietro Li', Yoshua Bengio。 0.73
In International ConferGraph Attention Networks. International ConferGraph Attention Networks(英語) 0.80
ence on Learning Representations (ICLR), 2018. ence on Learning Representations (ICLR) 2018年。 0.74
1, 2, 3, 5, 12 1, 2, 3, 5, 12 0.85
[45] Binghui Wang and Neil Zhenqiang Gong. [45] Binghui WangおよびNeil Zhenqiang Gong。 0.80
Stealing HyIn IEEE Symperparameters in Machine Learning. Stealing HyIn IEEE Symperparameters in Machine Learning 0.71
posium on Security and Privacy (S&P), pages 36–52. posium on Security and Privacy (S&P)、36-52ページ。 0.83
IEEE, 2018. IEEE、2018年。 0.88
4, 12 [46] Binghui Wang and Neil Zhenqiang Gong. 4, 12 [46]Binghui WangとNeil Zhenqiang Gong。 0.81
Attacking Graph-based Classification via Manipulating the In ACM SIGSAC Conference on Graph Structure. In ACM SIGSAC Conference on Graph Structureの操作によるグラフベースの分類の攻撃 0.91
Computer and Communications Security (CCS), pages 2023–2040. Computer and Communications Security (CCS) 2023–2040頁。 0.82
ACM, 2019. 2019年、ACM。 0.87
12 [47] Bang Wu, Xiangwen Yang, Shirui Pan, and Xingliang Yuan. 12 [47]Bang Wu,Xiangwen Yang,Shirui Pan,Xingliang Yuan。 0.75
Model Extraction Attacks on Graph Neural Networks: Taxonomy and Realization. グラフニューラルネットワークにおけるモデル抽出攻撃:分類と実現 0.76
CoRR abs/2010.12751, 2020. CoRR abs/2010.12751, 2020 0.74
12 [48] Huijun Wu, Chen Wang, Yuriy Tyshetskiy, Andrew Docherty, Kai Lu, and Liming Zhu. 12 [48] Huijun Wu、Chen Wang、Yuriy Tyshetskiy、Andrew Docherty、Kai Lu、Liming Zhu。 0.76
Adversarial Examples for Graph Data: Deep Insights into Attack and Defense. グラフデータの逆例: 攻撃と防御に対する深い洞察。 0.74
In International Joint Conferences on Artifical Intelligence (IJCAI), pages 4816–4823. International Joint Conferences on Artifical Intelligence (IJCAI)、4816-4823頁。 0.75
IJCAI, 2019. IJCAI、2019年。 0.80
12 [49] Han Xu, Yao Ma, Haochen Liu, Debayan Deb, Hui Liu, Jiliang Tang, and Anil K. Jain. 12 49]Han Xu、Yao Ma、Haochen Liu、Debayan Deb、Hui Liu、Jiliang Tang、Anil K. Jain。 0.79
Adversarial Attacks and Defenses in Images, Graphs and Text: A Review. 画像、グラフ、テキストにおける敵の攻撃と防御:レビュー。 0.75
International Journal of Automation and Computing, 2020. International Journal of Automation and Computing、2020年。 0.86
12 [50] Keyulu Xu, Weihua Hu, Jure Leskovec, and Stefanie Jegelka. 12 Keyulu Xu, Weihua Hu, Jure Leskovec, Stefanie Jegelka. [50] Keyulu Xu, Weihua Hu, Jure Leskovec, そしてStefanie Jegelka。 0.73
How Powerful are Graph Neural Networks? グラフニューラルネットワークはどの程度強力か? 0.73
In International Conference on Learning Representations (ICLR), 2019. 2019年、iclr(international conference on learning representations)を開催。 0.72
1, 2, 3, 5, 12 1, 2, 3, 5, 12 0.85
[51] Samuel Yeom, Irene Giacomelli, Matt Fredrikson, and Somesh Jha. [51]Samuel Yeom, Irene Giacomelli, Matt Fredrikson, Somesh Jha。 0.72
Privacy Risk in Machine Learning: Analyzing the Connection to Overfitting. 機械学習におけるプライバシーリスク:オーバーフィットとの関係を分析する。 0.68
In IEEE Computer Security Foundations Symposium (CSF), pages 268–282. IEEE Computer Security Foundations Symposium (CSF)で、268-282ページ。 0.86
IEEE, 2018. IEEE、2018年。 0.88
11 [52] Yuheng Zhang, Ruoxi Jia, Hengzhi Pei, Wenxiao Wang, Bo Li, and Dawn Song. 11 52] Yuheng Zhang、Ruoxi Jia、Hengzhi Pei、Wenxiao Wang、Bo Li、Dawn Song。 0.76
The Secret Revealer: Generative Model-Inversion Attacks Against Deep Neural Networks. the secret revealer: ディープニューラルネットワークに対する生成モデル反転攻撃。 0.84
In IEEE Conference on Computer Vision and Pattern Recognition (CVPR), pages 250–258. IEEE Conference on Computer Vision and Pattern Recognition (CVPR)において、250-258ページ。 0.87
IEEE, 2020. IEEE、2020年。 0.90
11, 12 14 11, 12 14 0.85
英語(論文から抽出)日本語訳スコア
[53] Zaixi Zhang, [53]Zixi Zhang, 0.82
and Neil Zhenqiang Gong. そして、Neil Zhenqiang Gong。 0.81
Backdoor Attacks to Graph Neural Networks. グラフニューラルネットワークへのバックドア攻撃。 0.74
CoRR abs/2006.11165, 2020. CoRR abs/2006.11165, 2020 0.75
12 Jinyuan Jia, Binghui Wang, 12 金源Jia、Binghui Wang。 0.81
[54] Daniel Zügner, Amir Akbarnejad, and Stephan Günnemann. [54] Daniel Zügner、Amir Akbarnejad、Stephan Günnemann。 0.65
Adversarial Attacks on Neural Networks for Graph Data. グラフデータのニューラルネットワークに対する敵対的攻撃 0.75
In ACM Conference on Knowledge Discovery and Data Mining (KDD), pages 2847–2856. ACM Conference on Knowledge Discovery and Data Mining (KDD)で、2847–2856頁。 0.81
ACM, 2018. 2018年、ACM。 0.85
12 [55] Daniel Zügner and Stephan Günnemann. 12 ダニエル・チューグナー(Daniel Zügner)とステファン・ギュンマン(Stephan Günnemann)。 0.67
Adversarial Attacks on Graph Neural Networks via Meta Learning. メタラーニングによるグラフニューラルネットワークの敵対的攻撃。 0.72
In International Conference on Learning Representations (ICLR), 2019. 2019年、iclr(international conference on learning representations)を開催。 0.72
12 15 12 15 0.85
                               ページの最初に戻る

翻訳にはFugu-Machine Translatorを利用しています。