【图攻防】《Backdoor Attacks to Graph Neural Networks 》(SACMAT‘21)

Backdoor Attacks to Graph Neural Networks (SACMAT’21)

Neil Zhenqiang Gong团队工作。

本文主要攻击用于图分类任务的GNN模型，任务场景是交易欺诈、社交网络检测虚假用户、恶意软件检测等，这些任务都是对一个图进行分类。本文的backdoor attack就是在图中注入一个子图结构当作trigger，然后测试集如果出现了相同的子图结构，就会预测到目标label。注入子图的方法也比较简单，就是随机方法。接着文章提出了防御方法，利用Randomized Subsampling实现可验证防御。

攻击者的目标就是backdoored GNN模型应该在clean testing graph上准确度尽可能高，但是在注入了trigger的testing graph上ASR应该尽可能高。

生成trigger方法

首先添加trigger是只修改图结构，比如选择4个节点作为trigger 子图，那么不管这四个节点之前是什么结构，现在就改成这个结构。控制trigger子图的四个参数

Trigger size：trigger子图的节点个数 $t$。

Trigger density：trigger图的稠密度 ρ