第6章 GNNの敵対的ロバスト性
はじめに
従来のDNN(深層ニューラルネットワーク)をグラフに一般化したGNN(グラフニューラルネットワーク)は,DNNが持つメリットとデメリットを両方受け継いでいる. DNNと同様に,GNNはノードを対象としたタスクやグラフを対象としたタスクなど,グラフに関連した様々なタスクで効果を発揮している. しかし一方でDNNは,専用に設計された「敵対的な攻撃(adversarial attacks)に対して脆弱」であることが示されている (Goodfellow et al., 2014b; Xu et al., 2019b). 敵対的な攻撃は,データサンプルに見つかりにくい摂動(微小な変化)を加えることで,モデルが誤った結果を出すように仕向ける.
GNNもこのデメリットを受け継いでいることが,次第に明らかになってきている. 敵対者(攻撃者)は,グラフの構造やノードの特徴量を意図的に操作してグラフに敵対的摂動を発生させることでGNNモデルを欺く. こういったGNNの弱点は,金融システムやリスク管理といった安全性が重視されるアプリケーションへの導入に大きな懸念を投げかける結果になる. 例えば,信用評価システムにおいては,詐欺師が高信頼顧客とのつながりを偽装して詐欺師検出モデルを回避したり,また,スパム送信者が簡単に偽のフォロワーを作成してフェイクニュースがレコメンドされ,広く拡散する可能性を高めることができてしまう.
以上のことから,グラフに対する敵対的攻撃とその対策に対する研究がますます注目を集めている. 本章では,まずグラフに対する敵対的攻撃の概念と定義を紹介し,どのような敵対的攻撃が存在するか分類する. その後,これらの敵対的攻撃に対する代表的な防御技術について議論していく.
目次
- 6.1 はじめに
- 6.2 グラフへの敵対的攻撃
- 6.2.1 敵対的攻撃の分類
- 6.2.1.1 攻撃者の行動範囲に基づく分類
- 6.2.1.2 摂動の種類に基づく分類
- 6.2.1.3 攻撃者の目標に基づく分類
- 6.2.1.4 標的モデルの知識に基づく分類
- 6.2.2 ホワイトボックス攻撃
- 6.2.2.1 PGD トポロジー攻撃
- 6.2.2.2 積分勾配に基づく攻撃
- 6.2.3 グレーボックス攻撃
- 6.2.3.1 Nettack
- 6.2.3.2 Metattack
- 6.2.4 ブラックボックス攻撃
- 6.2.4.1 RL-S2V
- 6.2.4.2 ReWatt
- 6.2.1 敵対的攻撃の分類
- 6.3 敵対的攻撃に対する防御
- 6.3.1 グラフの敵対的学習
- 6.3.1.1 グラフ構造を用いた敵対的学習
- 6.3.1.2 ノード特徴量を用いた敵対的学習
- 6.3.1.3 グラフ構造とノード特徴量の両方を用いた敵対的学習
- 6.3.2 グラフの純化
- 6.3.2.1 特徴量の類似度が低いエッジの除去によるグラフ純化
- 6.3.2.2 隣接行列の低ランク近似によるグラフの純化
- 6.3.3 グラフアテンション防御
- 6.3.3.1 RGCN:正規分布による隠れ表現のモデル化
- 6.3.3.2 PA-GNN:クリーンなグラフから作る敵対的エッジを用いた学習
- 6.3.4 グラフ構造学習
- 6.3.1 グラフの敵対的学習
- 6.4 本章のまとめ
- 6.5 参考文献