Graph neural network (GNN) have demonstrated exceptional performance in solving critical problems across diverse domains yet remain susceptible to backdoor attacks. Existing studies on backdoor attack for graph classification are limited to single target attack using subgraph replacement based mechanism where the attacker implants only one trigger into the GNN model. In this paper, we introduce the first multi-targeted backdoor attack for graph classification task, where multiple triggers simultaneously redirect predictions to different target labels. Instead of subgraph replacement, we propose subgraph injection which preserves the structure of the original graphs while poisoning the clean graphs. Extensive experiments demonstrate the efficacy of our approach, where our attack achieves high attack success rates for all target labels with minimal impact on the clean accuracy. Experimental results on five dataset demonstrate the superior performance of our attack framework compared to the conventional subgraph replacement-based attack. Our analysis on four GNN models confirms the generalization capability of our attack which is effective regardless of the GNN model architectures and training parameters settings. We further investigate the impact of the attack design parameters including injection methods, number of connections, trigger sizes, trigger edge density and poisoning ratios. Additionally, our evaluation against state-of-the-art defenses (randomized smoothing and fine-pruning) demonstrates the robustness of our proposed multi-target attacks. This work highlights the GNN vulnerability against multi-targeted backdoor attack in graph classification task. Our source codes will be available at https://github.com/SiSL-URI/Multi-Targeted-Graph-Backdoor-Attack.


翻译:图神经网络(GNN)在解决各关键领域问题中展现出卓越性能,但仍易受后门攻击。现有针对图分类的后门攻击研究仅限于基于子图替换机制的单目标攻击,即攻击者仅向GNN模型中植入单一触发器。本文首次提出面向图分类任务的多目标后门攻击,其中多个触发器可同时将预测结果导向不同目标标签。我们提出采用子图注入而非子图替换的方法,在毒化干净图的同时保持原始图的结构。大量实验证明了我们方法的有效性:该攻击在保持干净准确率影响最小的前提下,对所有目标标签均实现了高攻击成功率。在五个数据集上的实验结果表明,我们的攻击框架性能优于传统的基于子图替换的攻击。对四种GNN模型的分析证实了本攻击的泛化能力——其有效性不受GNN模型架构与训练参数设置的影响。我们进一步研究了攻击设计参数的影响,包括注入方法、连接数量、触发器大小、触发器边密度和毒化比例。此外,针对前沿防御方法(随机平滑与剪枝微调)的评估表明,我们提出的多目标攻击具有强鲁棒性。本研究揭示了图分类任务中GNN面对多目标后门攻击的脆弱性。源代码发布于 https://github.com/SiSL-URI/Multi-Targeted-Graph-Backdoor-Attack。

0
下载
关闭预览

相关内容

计算机视觉领域的后门攻击与防御:综述
专知会员服务
19+阅读 · 2025年9月13日
神经网络后门攻击与防御综述
专知会员服务
19+阅读 · 2024年7月30日
【KDD2024】针对图提示学习的跨上下文后门攻击
专知会员服务
21+阅读 · 2024年6月15日
通信网络中大型语言模型的后门攻击的综述
专知会员服务
30+阅读 · 2023年9月5日
图神经网络黑盒攻击近期进展
专知会员服务
19+阅读 · 2022年10月14日
图对抗防御研究进展
专知会员服务
39+阅读 · 2021年12月13日
【综述】基于图的对抗式攻击和防御,附22页论文下载
专知会员服务
69+阅读 · 2020年3月5日
图神经网络火了?谈下它的普适性与局限性
机器之心
22+阅读 · 2019年7月29日
Github热门图深度学习(GraphDL)源码与框架
新智元
21+阅读 · 2019年3月19日
掌握图神经网络GNN基本,看这篇文章就够了
新智元
164+阅读 · 2019年2月14日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
2+阅读 · 2015年12月31日
国家自然科学基金
2+阅读 · 2015年12月31日
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
6+阅读 · 2014年12月31日
国家自然科学基金
17+阅读 · 2013年12月31日
VIP会员
相关VIP内容
计算机视觉领域的后门攻击与防御:综述
专知会员服务
19+阅读 · 2025年9月13日
神经网络后门攻击与防御综述
专知会员服务
19+阅读 · 2024年7月30日
【KDD2024】针对图提示学习的跨上下文后门攻击
专知会员服务
21+阅读 · 2024年6月15日
通信网络中大型语言模型的后门攻击的综述
专知会员服务
30+阅读 · 2023年9月5日
图神经网络黑盒攻击近期进展
专知会员服务
19+阅读 · 2022年10月14日
图对抗防御研究进展
专知会员服务
39+阅读 · 2021年12月13日
【综述】基于图的对抗式攻击和防御,附22页论文下载
专知会员服务
69+阅读 · 2020年3月5日
相关基金
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
2+阅读 · 2015年12月31日
国家自然科学基金
2+阅读 · 2015年12月31日
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
6+阅读 · 2014年12月31日
国家自然科学基金
17+阅读 · 2013年12月31日
Top
微信扫码咨询专知VIP会员