摘要
近年来,图神经网络(GraphNeuralNetworks,GNNs)的高速发展使得基于图数据的各类任务取得了突破性的进展。然而,一些研究表明普通的图神经网络对训练时的攻击(PoisoningAttack)和测试时的攻击(EvasionAttack)十分脆弱,攻击者通过对图结构微量的扰动就可以使得图神经网络的性能骤降。这对图神经网络的部署和应用带来了不可忽视的风险。图神经网络有大量的应用场景都有着很高的可靠性、安全性需求,例如在金融领域,许多智能欺诈检测和信贷逾期检测都是基于交易图、交互图数据来完成的,欺诈者或者恶意用户可以通过刻意建立和正常用户的交易连边,来将自己伪装成正常用户,以此来逃过系统的监管。再比如微博、Twitter之类的社交网络,常常利用用户的交互图来进行社群划分、广告推荐,一些不法分子通过创建虚假用户、僵尸粉等来扩大自己账号的影响力,以此来实现盈利,这些虚假账号常常会模仿真实用户去进行评论、关注、点赞,建立虚假的社交关系(即连边),来伪装成正常用户,严重扰乱了平台的正常秩序。基于这些原因,研究图神经网络在对抗攻击下的脆弱性和鲁棒性是极具价值的。本文从三个方面开展对图神经网络对抗鲁棒性的研究: 1.基于无监督表示学习的鲁棒结构学习算法 首先是探究在面对结构扰动攻击时,如何设计具有高鲁棒性的无监督结构学习算法。这里的无监督是指整个表征学习、结构优化的过程中,都不会用到节点的标签信息。选择无监督结构学习的原因:(1)如果只用特征来进行结构学习,就丢失了图中重要的结构信息;(2)下游任务是攻击者的直接攻击目标,基于监督信号获取的表征质量往往随着下游任务性能下降而下降。因此,本研究选择无监督学习作为表示学习的基本框架来获取高质量表征,并用于优化图结构。该研究点的预期目标是在面对不同类型的投毒攻击时,在各扰动率下都保持稳定的性能。试验结果表明在4个公开数据集0%20%扰动率下一致获得了最强的鲁棒性。 2.基于分布漂移的图鲁棒性分析 攻击算法大多基于梯度实现,其有效性缺乏理论论证,本研究从数据分布和分布漂移(DistributionShift)的角度来分析该问题,形式化定义出了图对抗攻击场景的分布漂移,再基于这套框架,从实验和理论两个方面出发,对攻击中出现的特定现象给出了解释,重新审视已有的攻击、防御算法,并对其进行改进。另一方面为了更进一步说明这套理论的泛用性,设计了一种简单的启发式攻击算法,能在很低的时间和空间复杂度下达到和SOTA相近的效果。该研究点的预期目标是提出一套理论框架,比较合理的解释基于梯度的方法的有效性,并基于此给出一些具体的建议用于提升和改进现有算法并指导新算法的设计。 3.基于一致性的图神经网络的对抗鲁棒性和泛化性研究 图对抗攻击场景纷繁复杂,每一种场景的鲁棒性的研究都有可能在特定的应用环境下体现出其价值。在这种认知前提下,挖掘不同设定下表现出的共性显得尤为重要,用一个统一的视角去总结不同场景下GNN的脆弱性和鲁棒性的共性,对这个领域的后续研究有着巨大的价值。本质上,无论是什么样的攻击算法或者攻击场景,都是使得攻击前和攻击后的图在微观或者宏观上“不类似”了,这种“不类似”可以表述为一种一致性,即当这种一致性越低的时候,可以假定攻击是越有效的。因此,一致性即为不同设定下攻击表现出的共性,本研究从宏观的全局分布漂移和节点特征-结构比对分别定义了全局一致性和局部一致性,按照归纳式(Inductive)和直推式(transductive)、结构修改攻击和节点注入攻击、全局攻击和局部攻击的分类分别讨论了图在被攻击前后的一致性变化。基于此,本研究分析了图鲁棒性算法为什么没有鲁棒性-泛化性的权衡(trade-off),并提出了一种基于自学习的高鲁棒性训练方式。
NETL