Blackknife: 이종 그래프 신경망 (Heterogeneous Graph Neural Networks)에 대한 하드 레이블 쿼리 제한

이종 그래프 신경망 (Heterogeneous Graph Neural Networks, HGNNs)은 다양한 노드 및 관계 유형을 가진 복잡한 그래프 구조 데이터를 모델링하는 데 있어 강력한 성능을 달성했습니다. 그러나 현실적인 블랙박스 적대적 설정 (black-box adversarial settings) 하에서의 강건성 (robustness)은 여전히 충분히 탐구되지 않았습니다. 기존의 HGNN에 대한 공격들은 대개 모델의 그래디언트 (gradients), 소프트 예측 점수 (soft prediction scores), 또는 전체 그래프 구조에 대한 접근 권한이 있다고 가정하지만, HGNN 기반 서비스가 폐쇄형 시스템으로 배포될 때는 이러한 정보에 접근할 수 없는 경우가 많습니다. 본 논문에서는 이종 그래프 신경망을 위한 하드 레이블 (hard-label), 쿼리 제한 (query-limited), 구조 제한 (structure-limited) 블랙박스 회피 공격 (evasion attack) 프레임워크인 Blackknife를 제안합니다. Blackknife는 피해 모델의 아키텍처, 파라미터, 그래디언트, 로짓 (logits), 신뢰도 점수 (confidence scores) 또는 전체 그래프 구조에 대한 접근이 전혀 없다고 가정합니다. 대신, 관찰 가능한 로컬 1-홉 이종 구조 (one-hop heterogeneous structures)와 소수의 하드 레이블 쿼리에만 의존합니다. 이러한 엄격한 제약 조건 하에서 효과적인 섭동 (perturbations)을 생성하기 위해, Blackknife는 먼저 관찰 가능한 이종 이웃 (heterogeneous neighborhoods)으로부터 로컬 관계 인식 대리 모델 (local relation-aware surrogate model)을 구축합니다. 그런 다음 이산적인 에지 추가 및 삭제 연산을 연속적인 소프트 가중치 (soft weights)로 완화하고 투영 경사 하강법 (projected gradient descent)을 통해 이를 최적화합니다. 마지막으로, 최적화된 섭동은 관계를 보존하는 구조적 리와이어링 (structural rewiring) 연산으로 이산화되며, 피해 모델로부터 얻은 제한된 하드 레이블 피드백을 사용하여 검증됩니다. ACM, DBLP, IMDB를 포함한 세 가지 벤치마크 이종 그래프 데이터셋에 대한 광범위한 실험을 통해, Blackknife가 대표적인 HGNN 모델들에 대해 일관되게 강력한 공격 성공률을 달성함을 입증했습니다. 결과는 또한 Blackknife가 토폴로지 기반 방어 전략 (topology-based defense strategies) 하에서도 효과적임을 보여주며, 이는 로컬 구조 제한 블랙박스 공격에 대한 HGNN의 취약성을 드러냅니다.