On the Adversarial Robustness of Graph Neural Networks
Tid: To 2026-04-23 kl 14.00
Plats: Kollegiesalen, Brinellvagen 8
Språk: Engelska
Ämnesområde: Informations- och kommunikationsteknik
Respondent: Sofiane Ennadir , Datatekniska och lärande system
Opponent: Professor Rémi Flamary, Ecole Polytechnique de Paris
Handledare: Professor Michalis Vazirgiannis,
QC 20260331
Abstract
Graph Neural Networks (GNNs) har etablerat sig som ett standardparadigm för maskininlärning på grafstrukturerad data och har visat stor framgång inom tillämpningar som molekyldesign, anomalidetektion i nätverk och rekommendationssystem. Trots deras förmåga att lära sig meningsfulla representationer för noder och grafer är GNNs sårbara för adversarial attacks, det vill säga små, strategiskt utformade perturbationer i indata som kan leda till opålitliga prediktioner. Denna sårbarhet väcker allvarliga farhågor vid användning i säkerhetskritiska domäner såsom finans och sjukvård, där robusthet är avgörande. Följaktligen har förståelsen och förbättringen av GNNs adversarial robustness blivit ett centralt forskningsområde, innefattande både utveckling av effektiva attackstrategier och motståndskraftiga försvarsmekanismer.
Många befintliga defense methods bygger på preprocessing-tekniker eller modifieringar av message passing-ramverket, ofta genom att filtrera eller omvikta delar av grafen. Trots god empirisk prestanda baseras dessa metoder ofta på heuristik och saknar starka teoretiska garantier. Givet grafernas rika topologiskastruktur krävs en djupare förståelse av deras sårbarheter och interna dynamik,särskilt hur en attack kan spridas genom nätverket. Dessutom utvärderas försvar vanligtvis endast mot state-of-the-art attacks vid utvärderingstillfället, vilket gör dem sårbara för mer avancerade eller tidigare okända strategier. Detta belyser behovet av metoder som kombinerar god empirisk prestanda med certifierbar robusthet. Samtidigt innebär många nuvarande angreppssätt hög computational overhead, vilket begränsar deras praktiska användbarhet.
Denna avhandling adresserar centrala utmaningar inom adversarial robustness för GNNs. För det första introduceras defense mechanisms som är både empiriskt effektiva och teoretiskt grundade, med provable robustness mot föränderliga attacker. För det andra undersöks hur stark defense performance kan förenas med computational efficiency, vilket är avgörande för tillämpningar i exempelvis mobila och onlinebaserade system. För det tredje analyseras ofta förbisedda faktorer i training dynamics, såsom weight initialization och antal training epochs,och hur dessa påverkar modellens robusthet, där noggrant parameterurval kan ge betydande förbätringar till låg kostnad.
Avhandlingens bidrag organiseras kring fyra huvudområden. För det första föreslås en modifiering av Graph Convolutional Networks (GCNs) med orthogonal weightmatrices som teoretiskt och empiriskt förbättrar robustheten. För det andra presenteras en enkel men effektiv metod för att injicera noise i hidden representations under träning, vilket ger ökad robusthet med låg computational cost. För det tredje analyseras samspelet mellan training dynamics och sårbarhet,vilket visar hur parametrisering påverkar robustheten. Slutligen introduceras en ny adversarial attackmetod där grafer genereras från grunden via en learnable generator, snarare än att enbart perturb befintliga grafer. Sammanfattningsvis bidrar avhandlingen med teoretiska insikter och praktiskaverktyg som fördjupar förståelsen av adversarial attacks i GNNs och främjar utvecklingen av mer robusta och tillförlitliga grafbaserade maskininlärningssystem.