論文の概要: Defense-as-a-Service: Black-box Shielding against Backdoored Graph Models
- arxiv url: http://arxiv.org/abs/2410.04916v1
- Date: Mon, 7 Oct 2024 11:04:38 GMT
- ステータス: 処理完了
- システム内更新日: 2024-11-02 01:18:10.053904
- Title: Defense-as-a-Service: Black-box Shielding against Backdoored Graph Models
- Title(参考訳): ディフェンス・アズ・ア・サービス: バックドアグラフモデルに対するブラックボックス・シールド
- Authors: Xiao Yang, Kai Zhou, Yuni Lai, Gaolei Li,
- Abstract要約: リソース制約のあるビジネスオーナーがサードパーティに頼ってバックドア攻撃を回避できるGraphProtを提案する。
GraphProtはモデルに依存しず、入力グラフのみに依存します。
3つのバックドア攻撃と6つのベンチマークデータセットによる実験結果から、GraphProtがバックドア攻撃の成功率を大幅に低下させることが示された。
- 参考スコア(独自算出の注目度): 8.318114584158165
- License: http://creativecommons.org/licenses/by-nc-sa/4.0/
- Abstract: With the trend of large graph learning models, business owners tend to employ a model provided by a third party to deliver business services to users. However, these models might be backdoored, and malicious users can submit trigger-embedded inputs to manipulate the model predictions. Current graph backdoor defenses have several limitations: 1) depending on model-related details, 2) requiring additional model fine-tuning, and 3) relying upon extra explainability tools, all of which are infeasible under stringent privacy policies. To address those limitations, we propose GraphProt, which allows resource-constrained business owners to rely on third parties to avoid backdoor attacks on GNN-based graph classifiers. Our GraphProt is model-agnostic and only relies on the input graph. The key insight is to leverage subgraph information for prediction, thereby mitigating backdoor effects induced by triggers. GraphProt comprises two components: clustering-based trigger elimination and robust subgraph ensemble. Specifically, we first propose feature-topology clustering that aims to remove most of the anomalous subgraphs (triggers). Moreover, we design subgraph sampling strategies based on feature-topology clustering to build a robust classifier via majority vote. Experimental results across three backdoor attacks and six benchmark datasets demonstrate that GraphProt significantly reduces the backdoor attack success rate while preserving the model accuracy on regular graph classification tasks.
- Abstract(参考訳): 大規模なグラフ学習モデルのトレンドにより、ビジネスオーナーは、サードパーティが提供するモデルを使用して、ユーザにビジネスサービスを提供する傾向があります。
しかし、これらのモデルはバックドア化され、悪意のあるユーザはトリガーが埋め込まれた入力を送信してモデル予測を操作することができる。
現在のグラフバックドア防御にはいくつかの制限がある。
1) モデルに関する詳細による。
2)追加のモデル微調整が必要で、
3) 厳格なプライバシーポリシーの下では、これらすべては実現不可能である、余分な説明可能性ツールに依存している。
このような制限に対処するため、GNNベースのグラフ分類器に対するバックドア攻撃を避けるために、リソース制約のあるビジネスオーナーがサードパーティに依存することができるGraphProtを提案する。
GraphProtはモデルに依存しず、入力グラフのみに依存します。
重要な洞察は、予測にサブグラフ情報を活用することで、トリガーによって引き起こされるバックドア効果を緩和することである。
GraphProtはクラスタリングベースのトリガ除去と堅牢なサブグラフアンサンブルという2つのコンポーネントで構成されている。
具体的には、まず、異常な部分グラフ(トリガー)の大部分を削除することを目的とした特徴トポロジクラスタリングを提案する。
さらに,特徴トポロジクラスタリングに基づく部分グラフサンプリング戦略を設計し,多数決によるロバストな分類器を構築する。
3つのバックドア攻撃と6つのベンチマークデータセットによる実験結果から、GraphProtは通常のグラフ分類タスクのモデル精度を維持しながら、バックドア攻撃の成功率を著しく低減することが示された。
関連論文リスト
- Privacy-Preserved Neural Graph Similarity Learning [99.78599103903777]
本稿では,グラフ類似性学習のためのプライバシ保存型ニューラルグラフマッチングネットワークモデルPPGMを提案する。
再構成攻撃を防ぐため、提案モデルではデバイス間でノードレベルの表現を通信しない。
グラフプロパティに対する攻撃を軽減するため、両方のベクトルの情報を含む難読化機能は通信される。
論文 参考訳(メタデータ) (2022-10-21T04:38:25Z) - Model Inversion Attacks against Graph Neural Networks [65.35955643325038]
グラフニューラルネットワーク(GNN)に対するモデル反転攻撃について検討する。
本稿では,プライベートトレーニンググラフデータを推測するためにGraphMIを提案する。
実験の結果,このような防御効果は十分ではないことが示され,プライバシー攻撃に対するより高度な防御が求められている。
論文 参考訳(メタデータ) (2022-09-16T09:13:43Z) - Neighboring Backdoor Attacks on Graph Convolutional Network [30.586278223198086]
本稿では,隣接するバックドアと呼ばれる,グラフデータに特有の新しいバックドアを提案する。
このような課題に対処するため、我々はトリガーを単一ノードとして設定し、トリガーノードがターゲットノードに接続されているときにバックドアが起動する。
論文 参考訳(メタデータ) (2022-01-17T03:49:32Z) - GraphMI: Extracting Private Graph Data from Graph Neural Networks [59.05178231559796]
GNNを反転させてトレーニンググラフのプライベートグラフデータを抽出することを目的とした textbfGraph textbfModel textbfInversion attack (GraphMI) を提案する。
具体的には,グラフ特徴の空間性と滑らかさを保ちながら,グラフエッジの離散性に対処する勾配モジュールを提案する。
エッジ推論のためのグラフトポロジ、ノード属性、ターゲットモデルパラメータを効率的に活用するグラフ自動エンコーダモジュールを設計する。
論文 参考訳(メタデータ) (2021-06-05T07:07:52Z) - Adversarial Attack Framework on Graph Embedding Models with Limited
Knowledge [126.32842151537217]
現存する作品は通常、ホワイトボックス方式で攻撃を行う。
ブラックボックス駆動で様々なグラフ埋め込みモデルに対処する必要がある。
GF-Attackはグラフ埋め込みモデルの層数を知ることなく効果的な攻撃を行うことができることを示す。
論文 参考訳(メタデータ) (2021-05-26T09:18:58Z) - Query-free Black-box Adversarial Attacks on Graphs [37.88689315688314]
そこで,攻撃者は対象モデルについて知識がなく,クエリーアクセスも行わないグラフに対して,クエリフリーなブラックボックス攻撃を提案する。
対象モデルに対するフリップリンクの影響をスペクトル変化によって定量化できることを証明し,固有値摂動理論を用いて近似する。
その単純さとスケーラビリティのため、提案モデルは様々なグラフベースモデルで一般的なだけでなく、異なる知識レベルがアクセス可能であれば容易に拡張できる。
論文 参考訳(メタデータ) (2020-12-12T08:52:56Z) - Graph Backdoor [53.70971502299977]
GTAはグラフニューラルネットワーク(GNN)に対する最初のバックドア攻撃である。
GTAは、トポロジカル構造と記述的特徴の両方を含む特定の部分グラフとしてトリガーを定義する。
トランスダクティブ(ノード分類など)とインダクティブ(グラフ分類など)の両方のタスクに対してインスタンス化することができる。
論文 参考訳(メタデータ) (2020-06-21T19:45:30Z) - Adversarial Attack on Community Detection by Hiding Individuals [68.76889102470203]
我々はブラックボックス攻撃に焦点をあて、ディープグラフコミュニティ検出モデルの検出からターゲット個人を隠すことを目的としている。
本稿では,制約付きグラフ生成器として動作するモジュールと,サロゲート型コミュニティ検出モデルとして動作するモジュールを交互に更新する反復学習フレームワークを提案する。
論文 参考訳(メタデータ) (2020-01-22T09:50:04Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。