Vulnérabilités des réseaux de neurones graphiques dans la prédiction de liens
Une étude révèle les risques d'attaques par backdoor dans les tâches de prédiction de liens GNN.
― 9 min lire
Table des matières
- La prédiction de liens et son importance
- Qu'est-ce que les attaques par porte dérobée ?
- Recherches existantes sur les attaques par porte dérobée
- Notre proposition pour les attaques par porte dérobée dans la prédiction de liens
- Les étapes de notre attaque
- Évaluation expérimentale
- Ensembles de données et modèles utilisés
- Résultats et analyse
- Comparaison avec les méthodes existantes
- Conclusion et travaux futurs
- Source originale
Les Réseaux de neurones graphiques (GNN) sont des modèles avancés qui analysent des données structurées sous forme de graphes, comme les réseaux sociaux ou les systèmes de transport. Ces modèles se sont révélés très efficaces dans de nombreuses applications réelles. Cependant, des études récentes montrent qu'ils ont des faiblesses en matière de sécurité, en particulier contre ce qu'on appelle les attaques par porte dérobée.
Les attaques par porte dérobée impliquent d'incorporer des déclencheurs cachés dans le modèle pendant l'entraînement. Quand ces déclencheurs sont présents dans de nouvelles données, ils amènent le modèle à faire des prédictions incorrectes. Par exemple, si le modèle prédit habituellement que deux nœuds ne sont pas connectés, l'insertion d'un déclencheur peut le faire conclure à tort qu'ils le sont. C'est un gros problème pour la sécurité des GNN, surtout lorsque les données d'entraînement proviennent de sources peu fiables.
La plupart des recherches actuelles sur les attaques par porte dérobée se sont concentrées sur la classification de graphes et la classification de nœuds. Il y a peu d'informations sur la manière dont ces attaques affectent les tâches de Prédiction de liens, qui sont cruciales pour des tâches comme recommander des amis dans les réseaux sociaux ou remplir des informations manquantes dans des graphes de connaissances.
La prédiction de liens et son importance
La prédiction de liens consiste à estimer si une connexion existe entre deux nœuds dans un graphe. Cette tâche est vitale pour diverses applications, comme recommander des connexions sur les réseaux sociaux ou prédire des interactions dans des réseaux biologiques. Les GNN prennent en compte à la fois les caractéristiques des nœuds et la structure du graphe pour faire des prédictions précises sur les liens.
Malgré leur efficacité, les GNN sont sensibles aux attaques par porte dérobée qui peuvent manipuler leurs prédictions. Il est essentiel de reconnaître ces vulnérabilités pour améliorer la sécurité des applications reposant sur la prédiction de liens.
Qu'est-ce que les attaques par porte dérobée ?
Les attaques par porte dérobée sont un type d'attaque malveillante où des motifs spécifiques, appelés déclencheurs, sont introduits dans les données d'entraînement. Cela permet aux attaquants de contrôler le comportement du modèle une fois qu'il est utilisé pour faire des prédictions. Dans une Attaque par porte dérobée, le modèle apprend à associer la présence d'un déclencheur à un résultat spécifique, entraînant des prédictions incorrectes lorsque le déclencheur est activé.
Par exemple, si un modèle est formé pour prédire si deux nœuds sont connectés et apprend que certaines caractéristiques représentent une connexion uniquement lorsqu'un déclencheur est présent, cela peut mener à des suppositions incorrectes lorsque ce déclencheur est utilisé.
Ces types d'attaques sont particulièrement préoccupants car ils peuvent rester inaperçus jusqu'à ce qu'il soit trop tard. Un modèle avec porte dérobée peut bien fonctionner dans des conditions normales mais échouer spectaculairement lorsqu'il est confronté à des données contenant des déclencheurs. Cela pose un risque sérieux pour la fiabilité des modèles GNN dans des applications pratiques.
Recherches existantes sur les attaques par porte dérobée
Bien que les attaques par porte dérobée aient été bien étudiées dans des domaines comme le traitement d'images et le traitement de la langue, leur impact sur les GNN est moins compris. La plupart des travaux existants se sont concentrés sur les tâches de classification de graphes et de classification de nœuds. Les rares études portant sur la prédiction de liens, comme LB et DLB, ont mis l'accent sur les graphes dynamiques et l'utilisation de déclencheurs complexes.
LB se concentre sur l'optimisation d'un sous-graphe aléatoire pour servir de déclencheur, ce qui nécessite une quantité significative de ressources d'attaque. DLB, quant à lui, opère sur des graphes dynamiques et vise à concevoir des déclencheurs variables.
Cependant, les deux méthodes sont limitées en praticité et en discrétion. Notre article propose une nouvelle approche pour les attaques par porte dérobée dans la prédiction de liens, en utilisant un seul nœud comme déclencheur, ce qui est moins visible et plus facile à mettre en œuvre.
Notre proposition pour les attaques par porte dérobée dans la prédiction de liens
Cet article présente une méthode novatrice pour mener des attaques par porte dérobée dans des tâches de prédiction de liens utilisant des GNN. L'idée centrale est d'utiliser un seul nœud comme déclencheur, ce qui permet une approche efficace mais discrète pour intégrer une porte dérobée dans le modèle.
Les étapes de notre attaque
Création du nœud déclencheur : Un nouveau nœud est créé pour servir de déclencheur. Les caractéristiques de ce nœud sont générées pour s'assurer qu'il est distinct des autres nœuds dans le graphe. En analysant la fréquence des caractéristiques dans l'ensemble de données, nous pouvons sélectionner des caractéristiques pour le déclencheur qui apparaissent moins souvent parmi les nœuds normaux.
Sélection des paires de nœuds cibles : Ensuite, nous choisissons des paires de nœuds non liés dans le graphe où le déclencheur sera injecté. Le processus de sélection se concentre sur des paires avec des caractéristiques rares, ce qui signifie que les nœuds ont moins d'éléments non nuls dans leurs vecteurs de caractéristiques.
Empoisonnement de l'ensemble de données : Les paires de nœuds cibles sélectionnées sont alors liées au nœud déclencheur. Cela modifie efficacement les paires non liées en paires liées pendant la phase d'entraînement du modèle, intégrant ainsi la porte dérobée dans le modèle.
Activation de la porte dérobée : Pendant la phase de prédiction, si le nœud déclencheur est connecté à l'une des paires cibles, le modèle prédit incorrectement qu'un lien existe. Lorsque le déclencheur est absent de l'entrée, le modèle fonctionnera correctement.
Évaluation expérimentale
Pour valider l'efficacité de notre attaque par porte dérobée, nous avons mené des expériences en utilisant quatre modèles populaires sur quatre ensembles de données de référence. Nous avons évalué le taux de réussite de l'attaque, c'est-à-dire à quelle fréquence le modèle a fait des prédictions incorrectes en raison de la porte dérobée lorsqu'elle était déclenchée.
Ensembles de données et modèles utilisés
Les ensembles de données utilisés dans nos expériences comprennent Cora, CiteSeer, CS et Physics. Chaque ensemble de données se compose d'une structure de graphe où les nœuds représentent des entités comme des articles de recherche, et les arêtes représentent des relations entre eux.
Nous avons testé notre attaque sur quatre modèles GNN différents :
- Graph Auto-Encoder (GAE)
- Variational Graph Auto-Encoder (VGAE)
- Adversarial Regularized Graph Auto-Encoder (ARGA)
- Adversarial Regularized Variational Graph Auto-Encoder (ARVGA)
Ces modèles utilisent différentes techniques pour la prédiction de liens et nous aident à évaluer l'efficacité de notre attaque dans divers contextes.
Résultats et analyse
Les résultats de nos expériences ont montré que notre attaque par porte dérobée maintenait des taux de réussite élevés avec un impact minimal sur la précision globale du modèle. Lorsque l'attaque a déclenché la porte dérobée, nous avons atteint des taux de réussite dépassant 89 % dans la plupart des scénarios, avec seulement une légère diminution de la précision des prévisions "propres" faites par le modèle.
Les expériences ont également confirmé que les taux d'empoisonnement, qui mesurent la proportion de l'ensemble de données que nous avons altéré, étaient faibles. Cela indique que notre attaque est à la fois efficace et discrète, car elle minimise les chances de détection.
Comparaison avec les méthodes existantes
En comparant notre méthode aux méthodes d'attaque par porte dérobée existantes, nous avons constaté que notre approche était non seulement efficace, mais aussi plus efficace. Notre utilisation d'un seul nœud comme déclencheur permet un niveau d'interférence plus faible avec les données d'entraînement, ce qui rend plus difficile la détection. Les méthodes traditionnelles qui s'appuient sur des sous-graphes complexes nécessitent plus de ressources et sont plus susceptibles d'être reconnues comme de la falsification.
Conclusion et travaux futurs
Cet article souligne une vulnérabilité significative des GNN dans le contexte de la prédiction de liens, montrant l'efficacité d'une attaque par porte dérobée utilisant un seul nœud déclencheur. Alors que les GNN trouvent une application généralisée dans divers domaines, il est crucial d'aborder ces menaces à la sécurité et de développer des défenses plus robustes contre les attaques potentielles.
Les recherches futures devraient se concentrer sur la création de défenses contre de telles attaques par porte dérobée et explorer davantage l'impact de ces vulnérabilités dans des scénarios réels. Alors que l'intérêt pour les GNN continue de croître, assurer la sécurité de ces modèles sera vital pour maintenir la confiance dans les applications basées sur les données.
Titre: A backdoor attack against link prediction tasks with graph neural networks
Résumé: Graph Neural Networks (GNNs) are a class of deep learning models capable of processing graph-structured data, and they have demonstrated significant performance in a variety of real-world applications. Recent studies have found that GNN models are vulnerable to backdoor attacks. When specific patterns (called backdoor triggers, e.g., subgraphs, nodes, etc.) appear in the input data, the backdoor embedded in the GNN models is activated, which misclassifies the input data into the target class label specified by the attacker, whereas when there are no backdoor triggers in the input, the backdoor embedded in the GNN models is not activated, and the models work normally. Backdoor attacks are highly stealthy and expose GNN models to serious security risks. Currently, research on backdoor attacks against GNNs mainly focus on tasks such as graph classification and node classification, and backdoor attacks against link prediction tasks are rarely studied. In this paper, we propose a backdoor attack against the link prediction tasks based on GNNs and reveal the existence of such security vulnerability in GNN models, which make the backdoored GNN models to incorrectly predict unlinked two nodes as having a link relationship when a trigger appear. The method uses a single node as the trigger and poison selected node pairs in the training graph, and then the backdoor will be embedded in the GNN models through the training process. In the inference stage, the backdoor in the GNN models can be activated by simply linking the trigger node to the two end nodes of the unlinked node pairs in the input data, causing the GNN models to produce incorrect link prediction results for the target node pairs.
Auteurs: Jiazhu Dai, Haoyu Sun
Dernière mise à jour: 2024-01-05 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2401.02663
Source PDF: https://arxiv.org/pdf/2401.02663
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.