论文笔记| Adversarial Attack on Graph Structured Data

最新推荐文章于 2025-03-08 16:50:57 发布
原创 最新推荐文章于 2025-03-08 16:50:57 发布 · 1.3k 阅读 · 28 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#论文阅读

文章信息

Published in:Proceedings of the 35th International Conference on Machine Learning, PMLR, 2018.

作者:Hanjun Dai, Hui Li, Tian Tian, Xin Huang, Lin Wang, Jun Zhu, Le Song

链接:Adversarial Attack on Graph Structured Data (mlr.press)

核心思想

本文提出了四种核心的图结构攻击方式,还量化了攻击者的攻击手段,包括以下三类:

  • 白盒攻击(WBA):在这种情况下,攻击者可以访问目标分类器的任何信息,包括预测、梯度信息等。
  • 实际黑盒攻击(PBA):在这种情况下,只能获得目标分类器的预测。当可以访问预测置信度时,我们将此设置表示为PBA-C;如果只能获得离散的预测标签,我们将此设置表示为PBA-D。
  • 限制黑盒攻击(RBA):这种设置比PBA更进一步。在这种情况下,我们只能对一些样本进行黑盒查询,并要求攻击者对其他样本进行对抗性修改。

根据攻击者可以从目标分类器获得的信息量,我们可以将上述设置排序为WBA > PBA-C > PBA-D > RBA。

攻击方式主要包括使用强化攻击(Qlearning)、随机攻击、梯度攻击和遗传算法,分别应用于不同的攻击能力场景。其使用场景及计算复杂度如下:

本文还是之后Zugner团队发表论文“Adversarial Attacks on Graph Neural Networks: A Comprehensive Review”的参考文献之一,Zugner团队所提出的Metattack方法来做全局攻击的思路就来自于本文所提出的梯度攻击。攻击方式非常类似,只不过本文攻击对象为原模型,Zugner所攻击对象为代理模型,攻击模型的损失函数亦有所改进。

问题描述

给定一个学习的分类器 f 和数据集中的一个实例 (G,c,y)∈D,图对抗性攻击者要求将图 G= (V,E) 修改为 G˜ = (V˜, E˜),使得分类器f在修改后的图上预测的准确率尽可能低。

当然图的修改亦有所限制,要求扰动边的数量不超过某个阈值

I(G, G', c') = I\left(|(E - E') \cup (E' - E)| < m\right) \cdot I(E' \subseteq N(G, b))

其中I是一个指

最低0.47元/天 解锁文章
ChA0s007
关注
Adversarial Attack on Graph Structured Data(2018 PMLR)
weixin_43856668的博客
11-26 1073
基于图结构的深度学习已经在各种应用中显示出令人兴奋的结果。然而,与图像或文本对抗攻击和防御的大量研究工作相比,此类模型的鲁棒性却很少受到关注。在本文中,我们重点关注通过修改数据组合结构来欺骗深度学习模型的对抗性攻击。我们首先提出一种基于强化学习的攻击方法,该方法学习可泛化的攻击策略,同时只需要来自目标分类器的预测标签。在额外的预测置信度或梯度可用的情况下,我们进一步提出基于遗传算法和梯度下降的攻击方法。我们使用合成数据和真实数据来表明,在图级和节点级分类任务中,一系列图神经网络模型很容易受到这些攻击。
WWW2020《Adversarial Attacks on Graph Neural Networks via Node Injections:分层增强学习方法》(NIPA)论文详解
专注。
04-28 1992
论文链接:https://faculty.ist.psu.edu/vhonavar/Papers/www20.pdf poisoning attack 1 Abstract and Introduction 本文考虑了一种针对图数据的节点注入中毒攻击(poisoning attack)的形式。对节点注入攻击的关键步骤进行建模,例如,通过马尔可夫决策过程(MDP)在注入的对抗节点和其他节点之间建立链接、选择注入节点的标签等。本文提出了一种针对节点注入中毒攻击(Node Injection Poisoni
AI新方向:对抗攻击
网易智能
11-14 3072
关注网易智能,聚焦AI大事件,读懂下一个大时代!本文转载自学术头条(ID:SciTouTiao),作者:汶川在调查近几年 AI 领域的过程中,我发现近几年对抗攻击的概念逐...
图对抗攻击及防御算法种类
weixin_42374938的博客
10-24 4087
一、 图对抗攻击 按照攻击算法在图中添加扰动的不同阶段,可以将图对抗攻击分为两类,分别为逃逸攻击和投毒攻击。其中逃逸攻击是攻击者构造对抗样本在模型测试简短欺骗目标模型,而投毒攻击是攻击者在模型训练阶段向训练集中注入对抗样本,使得训练后的模型具有误导性。 经典的图对抗攻击主要有如下几种: Nettack:利用图卷积网络的梯度信息修改图数据,使得目标节点被错误分类为指定类别。这种攻击方法是对属性图进行攻击的算法。 Metattack:利用元学习将图作为优化目标产生用于攻击的图数据。 RL-S2V:将强化学习引入
图结构数据上的对抗训练方法
paper_reader的博客
08-15 3655
阅读更多,欢迎关注公众号:论文收割机(paper_reader) 原文链接:(ICML&amp;KDD 2018) 图数据上的对抗攻击 随着 Ian Goodfellow 等人提出的 GAN(生成对抗神经网络)在计算机视觉和自然语言处理方向越来越受关注,基于对抗思想进行模型训练成为这两年机器学习和数据挖掘的热点方向。   今天我们介绍两篇题目非常相似的文章,分别发表于ICML 2018 和 ...
综述:图数据上的对抗攻击与防御
paper_reader的博客
04-27 7070
阅读更多,欢迎关注公众号:论文收割机(paper_reader)原文链接:综述:图数据上的对抗攻击与防御 Sun,Lichao,JiWang,PhilipS.Yu,andBoLi."AdversarialAttackandDefenseonGraphData:ASurvey."arXivpreprintarXiv:1812.10528(2018...
图神经网络对抗攻击的综述
qq_38391210的博客
08-25 3398
摘要
KDD2018《Adversarial Attacks on Neural Networks for Graph Data论文详解
专注。
03-26 4326
论文链接:https://arxiv.org/pdf/1805.07984.pdf Abstract 本文介绍了第一个在属性图上进行对抗攻击的研究,特别关注利用图卷积的思想模型。除了在测试阶段进行攻击,本文进行了更具挑战的poisoning attack(聚焦于机器学习模型的训练阶段)类别。在考虑实例间依赖关系的情况下,针对节点特征和图结构进行对抗扰动(adversarial perturbation)。通过保证重要的数据特征保证扰动是不可见的(unnoticeable)。为了解决底层的离散域(disc
论文《Generalizable Adversarial Attacks Using Generative Models》笔记
bunny___的博客
07-08 1126
【DAGAER】传统的攻击方法依赖于约束优化范式,具有局限性,例如经典的Nettack攻击方法。本文提出了一个统一的白盒对抗攻击生成框架,该方法学习了目标域的深度生成模型,不是在原始输入空间中生成对抗性例子,而是**学习在一个低维连续的潜在空间中生成扰动**。该方法的优势是可以适应不同的输入域,比如输入为图像、文本和图结构数据,并且能有效地产生不同的对抗扰动。
图神经网络(GNN)现在可以研究的方向有哪些呢?
qq_42986622的博客
06-09 1868
另一方面也可以进行训练环境的分布式改造,分布式环境下,原始大图切割为子图分布在不同的机器中,如何进行子图间的通信、跨图卷积等,也是很有挑战的难点。GNN的卷积操作在层数过多时会使得每个结点几乎都能间接融合其它所有结点的信息,导致所有结点的表征趋于相同,因此通常GNN的层数不宜设置过大。如何突破这种瓶颈,使得GNN的层数更深,性能更好,也是近年来比较热门的研究方向。,如基于谱图卷积的GCNs三部曲, 序列图神经网络GGNN,基于注意力机制的GAT等。关联,属于GNN比较基础的研究方向,如经典的。
蚂蚁金服人工智能部研究员ICML贡献论文05.pdf
08-29
随着机器学习热度的增加和其中“中国力量”的逐渐强大,在各大顶级会议上有越来越多的中国组织排名靠前,大有争夺头把交椅的势头。 比如,本次ICML,清华大学有 12 篇论文被收录;华裔作者的数量也令人惊讶,如佐治亚理工学院终身副教授、机器学习中心副主任宋乐署名的就有8篇论文。 而宋乐教授的另外一个身份,就是蚂蚁金服人工智能部研究员。 蚂蚁金服成为ICML 上“中国力量”的代表之一,为大会奉献了8篇论文。其中,六篇含金量十足的Oral Paper,成为议程上研讨会的主角,接受与会专家的热烈讨论。 这些论文几乎每篇署名作者都有世界级学术专家。比如人工智能教父,蚂蚁金服科学智囊团主席迈克尔·欧文·乔丹 (Michael I. Jordan),以及上面提到的佐治亚理工学院机器学习中心副主任,在蚂蚁金服人工智能部担任研究员的宋乐教授等。 不仅如此,蚂蚁金服还在本届大会上展示了多项核心技术和产品:基于强大的深度学习能力开发的定损宝、自研的图结构处理Graph Embedding 技术,以及基于图像处理和自然语言理解技术开发的智能客服等。特别是定损宝,将图像识别技术和车险领域首次结合,每年有望为中国保险公司节约数十亿元人民币成本,备受参与ICML 2018 的业界人士关注。 和顶级学术界人才深度合作,凸显蚂蚁金服在机器学习方面的能力,而将学术成就快速转化为商业级产品更是证明了蚂蚁金服的的决心——人才的吸引力和学术商用的两手并重,让首次参会的蚂蚁金服就成为了这场顶级学术会议上的耀眼新星。 本下载是第五篇论文——《Adversarial Attack on Graph Structured Data
图神经网络的健壮性(五)
最新发布
m0_74357009的博客
03-08 844
这里要提及的是关于的定义,文中提到两种定义方式:第一种,令,这种想法思路比较简单,因为我们总是希望攻击后模型效果越来越差,那么如果和训练损失刚好相反,就可以实现这个目标。第二种,令,在训练时,我们可以通过已知节点的标签去推测未知节点的标签,因此我们可以先在原始图数据上训练一个模型去把未知节点的标签全部预测出来,这一步被称为自学习(self-learning)。然后攻击目标就可以描述为,让未知节点的标签尽量和我们自学习得到的标签不同。这里可能会有疑问,这两种攻击损失的定义有什么不同吗?
gnn-meta-attack 项目使用教程
gitblog_00817的博客
09-13 946
gnn-meta-attack 项目使用教程 1. 项目目录结构及介绍 gnn-meta-attack 项目的目录结构如下: gnn-meta-attack/ ├── data/ │ └── ... ├── metattack/ │ └── ... ├── .gitignore ├── LICENSE ├── README.md ├── demo.ipynb ├── requirement...
探索图结构数据的对抗攻击:graph_adversarial_attack项目深度解析
gitblog_00058的博客
06-21 749
探索图结构数据的对抗攻击:graph_adversarial_attack项目深度解析 graph_adversarial_attack Adversarial Attack on Graph Structured Data (https://arxiv.org/abs/1806.02371) ...
ICLR2022《Understanding and Improving Graph Injection Attack by Promoting Unnoticeability》
专注。
04-03 1911
原文链接:https://arxiv.org/pdf/2202.08057.pdf evasion attack 1 Abstract and Introduction 现有的图对抗攻击主要有两种,图注入攻击(Graph Injection Attack,GIA)和图修改攻击(Graph Modification Attack,GMA);前者是一种更实际的攻击场景,它通过往图中注入恶意节点来实现攻击,后者通过修改原图中的节点或边来实现攻击。虽然 GIA 取得了比较令人满意的结果,但是我们并不知道这种.
图自监督学习和预训练论文推荐
AI_Conf的博客
10-29 511
Self-supervised Learning and Pre-training:研究图的自监督学习和预训练。预训练在NLP任务中大放光采,研究者希望此类技术在图上也能够进行预训练,并期望更好地辅助下游的任务。经典的自监督学习方法如对比学习等。 1.论文名称:Strategies for Pre-training Graph Neural Networks 链接:https://www.aminer.cn/pub/5e5e18eb93d709897ce3ce41 2.论文名称:CommDGI: Commu
论文阅读—Synthesizing Robust Adversarial Examples
yayayamaomaoya的博客
05-19 848
论文阅读—Synthesizing Robust Adversarial Examples 发表位置:Proceedings of the 35 th International Conference on Machine Learning, PMLR, 2018 摘要 由于视角、摄像机噪声和其他自然变换的组合,使得先前的研究中用于神经网络生成对抗样本的方法不能欺骗物理世界中基于神经网络的分类器,限制了它们与真实世界之间的联系。作者证明了针对物理世界的对抗样本真实存在,并提出了第一个算法用于合成在选定的变换
图卷积神经网络+图深度学习对抗攻击Adversarial Attacks on Neural Networks for Graph Data
travalscx的博客
12-01 4856
图卷积神经网络 GCN入门了解的一个超级好的博客 https://www.jianshu.com/p/89fbed65cd04?winzoom=1 在这篇论文Adversarial Attacks on Neural Networks for Graph Data中,总结了GCN: 论文中描述了一个单隐层的目的是用来做节点分类的GCN Adversarial Attacks on Neural ...
读书笔记17:Adversarial Attacks on Neural Networks for Graph Data
b224618的博客
09-05 8042
https://arxiv.org/pdf/1805.07984.pdf 看过之后有一个思考,adversarial attack的目标是事先选定一个class,然后选择攻击方式,尽可能使得模型把样本分类成这个类别,并且class probability和原class的probability拉开差距,但是可不可以将目标设定为最小化原分类class的probability,也就是只将目标定位为使t...
Adversarial Attack等价性判别比赛源码分析
资源摘要信息:"基于Adversarial Attack的问题等价性判别比赛旨在解决自然语言处理(NLP)领域中的一个重要问题,即如何判断两个在表达上非常相似的句子是否具有相同的语义含义。Adversarial Attack指的是通过故意设计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值