ICLR2022《Understanding and Improving Graph Injection Attack by Promoting Unnoticeability》

原创 已于 2022-05-02 13:50:22 修改 · 1.9k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#机器学习

于 2022-04-03 21:19:21 首次发布
本文探讨了图对抗攻击中的两种主要方法,即图注入攻击(GIA)和图修改攻击(GMA)。尽管GIA在某些情况下效果更优,但其灵活性可能导致对图的同质性分布造成损害,从而易被同质性防御策略所抵消。为了解决这个问题,作者提出了同质不可见性(homophily unnoticeability)的概念,并设计了和谐对抗目标(HAO),以确保GIA在保持同质性的同时进行有效攻击。实验表明,基于HAO的GIA能够突破同质性防御,提高攻击效果。

原文链接:https://arxiv.org/pdf/2202.08057.pdf

evasion attack

1 Abstract and Introduction

现有的图对抗攻击主要有两种,图注入攻击(Graph Injection Attack,GIA)和图修改攻击(Graph Modification Attack,GMA);前者是一种更实际的攻击场景,它通过往图中注入恶意节点来实现攻击,后者通过修改原图中的节点或边来实现攻击。虽然 GIA 取得了比较令人满意的结果,但是我们并不知道这种方法为什么会成功以及这种成功背后存在着什么缺点。为了理解 GIA 的能力,将 GIA 和 GMA 进行比较发现 GIA 成功的原因是由于它具有较高的灵活性,但这种灵活性是以对原图同质性分布(homophily distribution)的损害为代价的,如邻域间的相似性。因此,为了恢复原来的同质性而设计的基于同质性的防御可以很容易地减轻甚至防止 GIA 带来的的威胁。为了缓解这一问题,我们引入了一种新的约束——同质不可见性(homophily unnoticeability),以强制 GIA 保持同质性,并提出了和谐对抗目标(Harmonious Adversarial Objective,HAO)作为实例。大量的实验证明,使用 HAO 的 GIA 能够突破基于同质性的防御,并且明显优于以往的 GIA 攻击。本文的方法可以更可靠地评估 GNNs 的鲁棒性。

GIA 的灵活性使 GIA 能够将 GMA 的扰动映射到特定的 GIA 扰动中,并进一步优化映射的扰动以放大损伤(图1a)。然而,根据没有免费午餐的原则,进一步发现 GIA 的能力是建立在对原图同质性的严重破坏之上的同质性是指节点连接到具有相似特征或标签的节点的趋势,这对现有的大多数 GNNs 的成功都至关重要。由于非鲁棒模型仅通过利用同质性损伤的性质就可以很容易地减轻甚至阻止 GIA 的鲁棒性,因此严重的同质性损伤会使 GIA 评估鲁棒性的有效性失效。

在观察到同质性的破坏之后,可以直接设计一种旨在恢复同质性的防御机制,称之为同质性防御者(homophily defenders)同质性防御者对 GIA 攻击具有较强的鲁棒性。理论上,它们可以有效减少 GIA 造成的危害,使其低于 GMA。根据经验,使用边修剪的同质防御者的简单实现甚至可以恶化最先进的 GIA 攻击(图1b)。忽略对同质性的损害将使 GIA 变得无能为力,进一步限制了其在评估 GNNs 鲁棒性方面的应用。

为了使 GIA 能够有效地评估各种健壮的 GNNs,在开发 GIA 时必须注意保持同质性。为此,引入了一种新的约束——同质不可见性,该约束强制 GIA 保持原始图的同质性,可以作为图对抗学习中不可见约束的补充。为了实例化同质不可见性,我们提出了 GIA 的和谐对抗目标(HAO)(图1c)。具体来说,HAO 通过对攻击过程中的同质性分布偏移进行正则化,引入了一种新颖的同质约束可微实现。这样,对手(adversaries)就不容易被同质防御者识别,同时仍在进行有效的攻击(图1b)。在6个基准上的38个防御模型的广泛实验表明,基于 HAO 的 GIA 可以突破同质性防御者,在所有设置下(包括非目标攻击和目标攻击)均显著优于此前的所有工作。

本文贡献

在一个统一的环境对 GIA 和 GMA 进行了正式的比较,发现 GIA 比 GMA 更有害是由于其具有较高的灵活性(定理1)。

但 GIA 的这种灵活性也会给同质性分布带来巨大的损害,使得 GIA 可以容易地被同质性防御者进行防御(定理2)。

为了缓解这一问题,引入了同质不可见性的概念和一个新颖的目标 HAO 来进行同质不可见攻击(定理3)。

2 Preliminaries

2.1 Graph Neural Networks

考虑一个有节点集和边集的图是邻接矩阵,是节点特征向量。对半监督节点分类任务感兴趣。给定 C 个类别的标签集,通过最小化分类损失(如交叉熵),可以在训练(子)图上训练经 θ 参数化的图神经网络。训练后的可以对测试图中节点的标签进行预测。GNN 通常遵循邻域聚合方案来递归地更新节点表示:

其中是节点 u 邻域的节点集,是节点 u 经过 k 次聚合后的隐层表示,是如 ReLU 的激活函数,是如 MEAN 或 SUM 的聚合函数。

2.2 Graph Adversarial Attack

图对抗攻击的目标是在有限预算(budget)内通过构建图来欺骗在图上训练的 GNN 模型给定受害节点集,图的对抗攻击一般可以表示为:

 

其中通常取为

Graph Modification Attack (GMA). GMA 通过修改原图的图结构和节点特征来生成扰动后的图。GMA 中的约束用来限制的数量,用

最低0.47元/天 解锁文章
小白学变分推断(1)——变分推断概述
Marcus-Bao的个人主页
06-24 2161
变分推断 (Variational Inference, VI) 在概率机器学习问题中,其一个中心任务是在给定观测数据变量X的条件下,计算潜在变量Z的后验概率分布P(Z∣X)P(Z|X)P(Z∣X): [ P(Z|X) = \frac{P(X,Z)}{p(X)} ] 但是这对于实际应用中的许多模型来说,分母的边缘概率密度p(X)p(X)p(X)往往是不好求得的(intractable)。比如,Z为...
Controllable Multi-Interest Framework for Recommendation
weixin_41697507的博客
07-23 3664
Controllable Multi-Interest Framework for Recommendation ABSTRACT Recently, neural networks have been widely used in e-commerce recommender systems, owing to the rapid development of deep learning. We formalize the recommender system as a sequential recom
【论文学习】TDGIA: Effective Injection Attacks on Graph Neural Networks论文学习
qq_38391210的博客
08-25 1608
摘要 在这篇文章中,作者研究了图上的一种攻击,GIA图注入攻击。这篇文章的攻击方法并没有修改原图的链路结构(删除或者是添加边)或者是结点属性,而是直接往图上注入(inject)对抗结点。作者提出了拓扑缺陷图注入攻击(TDGIA),首先使用拓扑缺陷边选择策略来选择和注入结点有联系的原始图上的结点。然后使用平滑特征优化方法来获取注入结点的特征。在大型数据集上的实验表明,TDGIA的表现要优于已有的攻击baseline的结果。作者拿自己的攻击方法参加了KDD-CUP2020的比赛,发现使用了TDGIA后GNN模型
图神经网络对抗攻击(图注入攻击)
weixin_44809488的博客
10-06 3076
图神经网络在各种实际应用中都取得了良好的性能。然而,最近的研究发现,GNN容易受到对抗攻击。本文研究了最近引入的一种针对**图注入攻击(GIA)**的真实攻击场景。在GIA场景中,攻击者无法修改输入图的现有连接结构或节点属性,而是通过向其中注入攻击节点来执行攻击。*我们分析了GNN在GIA设置下的拓扑脆弱性,并在此基础上提出了用于有效注入攻击的拓扑缺陷图注入攻击(TDGIA)*TDGIA首先引入拓扑脆弱边选择策略来选择原始节点与注入节点连接。然后设计平滑特征优化目标,为注入节点生成特征。
图对抗攻击及防御算法种类
weixin_42374938的博客
10-24 4076
一、 图对抗攻击 按照攻击算法在图中添加扰动的不同阶段,可以将图对抗攻击分为两类,分别为逃逸攻击和投毒攻击。其中逃逸攻击是攻击者构造对抗样本在模型测试简短欺骗目标模型,而投毒攻击是攻击者在模型训练阶段向训练集中注入对抗样本,使得训练后的模型具有误导性。 经典的图对抗攻击主要有如下几种: Nettack:利用图卷积网络的梯度信息修改图数据,使得目标节点被错误分类为指定类别。这种攻击方法是对属性图进行攻击的算法。 Metattack:利用元学习将图作为优化目标产生用于攻击的图数据。 RL-S2V:将强化学习引入
KDD2018《Adversarial Attacks on Neural Networks for Graph Data》 论文详解
专注。
03-26 4318
论文链接:https://arxiv.org/pdf/1805.07984.pdf Abstract 本文介绍了第一个在属性图上进行对抗攻击的研究,特别关注利用图卷积的思想模型。除了在测试阶段进行攻击,本文进行了更具挑战的poisoning attack(聚焦于机器学习模型的训练阶段)类别。在考虑实例间依赖关系的情况下,针对节点特征和图结构进行对抗扰动(adversarial perturbation)。通过保证重要的数据特征保证扰动是不可见的(unnoticeable)。为了解决底层的离散域(disc
ICLR 2021上关于【NLP】主题的论文
11-01
最后,"coda_contrast_enhanced_and_diversity_promoting_data_augmentation_for_natural.pdf.pdf"提到了一种增强和多样性提升的数据增强方法,即CODA,它可能通过对比学习和多样性推广来改进模型的泛化能力,特别是...
ICLR 2021精选NLP论文深度解读与模型压缩技术
6. 论文标题: "CODA: Contrastive Learning Enhanced and Diversity Promoting Data Augmentation for Natural Language Understanding" - 知识点: 本论文探讨了如何使用对比学习增强和多样化推广(Diversity ...
图神经网络对抗攻击的综述
qq_38391210的博客
08-25 3395
摘要
Graph-Adversarial-Learning:图形数据的对抗性攻击和防御的精选集合
02-04
Graph-Adversarial-Learning:图形数据的对抗性攻击和防御的精选集合
图神经网络对抗攻击与防御
12-23
图神经网络对抗攻击与防御PPT,分享了Nettack和GNNGUARD
图神经网络的健壮性(五)
m0_74357009的博客
03-08 842
这里要提及的是关于的定义,文中提到两种定义方式:第一种,令,这种想法思路比较简单,因为我们总是希望攻击后模型效果越来越差,那么如果和训练损失刚好相反,就可以实现这个目标。第二种,令,在训练时,我们可以通过已知节点的标签去推测未知节点的标签,因此我们可以先在原始图数据上训练一个模型去把未知节点的标签全部预测出来,这一步被称为自学习(self-learning)。然后攻击目标就可以描述为,让未知节点的标签尽量和我们自学习得到的标签不同。这里可能会有疑问,这两种攻击损失的定义有什么不同吗?
论文笔记| Adversarial Attack on Graph Structured Data
ChA0s007的博客
05-28 1364
本文关注通过修改数据的组合结构来欺骗深度学习模型的对抗性攻击。本文首先提出了一种基于强化学习的攻击方法,该方法学习可推广的攻击策略,同时只需要目标分类器的预测标签。在可以获得额外的预测置信度或梯度的情况下,本文进一步提出了基于遗传算法和梯度下降的攻击方法。
gnn-meta-attack 项目使用教程
gitblog_00817的博客
09-13 942
gnn-meta-attack 项目使用教程 1. 项目目录结构及介绍 gnn-meta-attack 项目的目录结构如下: gnn-meta-attack/ ├── data/ │ └── ... ├── metattack/ │ └── ... ├── .gitignore ├── LICENSE ├── README.md ├── demo.ipynb ├── requirement...
基于图神经网络的对抗攻击防御 GNNGUARD: Defending Graph Neural Networks against Adversarial Attacks
随便记记笔记
12-23 2615
参考资料 项目:https://zitniklab.hms.harvard.edu/projects/GNNGuard/ 代码:https://github.com/mims-harvard/GNNGuard paper:https://arxiv.org/abs/2006.08149 poster:https://zitniklab.hms.harvard.edu/publications/posters/GNNGuard-NeurIPS20.pdf 介绍 论文来自于NeurIPS 2020,题目是G
文献阅读(71)WWW2022-CGC: Contrastive Graph Clustering for Community Detection and Tracking
优快云TianJi的博客
07-31 1160
本文是对《CGC: Contrastive Graph Clustering for Community Detection and Tracking》一文的总结,如有侵权即刻删除。
框架 GNN-AID:图神经网络分析、解释和防御
最新发布
栖客
05-10 1046
对可信人工智能(TAI)日益增长的需求突显了机器学习模型中可解释性和鲁棒性的重要性。然而,许多现有工具忽略了图数据,并且很少将这两个方面结合到单一解决方案中。图神经网络(GNNs)已成为一种流行的方法,在各种任务中取得了顶级结果。我们引入了GNN-AID(Graph Neural Network Analysis, Interpretation, and Defense),这是一个开源框架,专为图数据设计,以弥补这一空白。
【论文学习】图神经网络对抗攻击顶会论文汇总(2018-2021年)
qq_38391210的博客
08-19 7250
图对抗攻击 在信贷领域,结合贷款人的金钱交易来评估他的信用情况,人与人的交易记录就是用图来表示。 对于图来说,特征往往是离散的(例如图的结构特征,一条边要么存在,要么不存在)。 对于图来说,很难定义图上的微小扰动。 在图像对抗攻击领域,通常是在训练好的模型上输入扰动图片使其预测错误evasion attack,但是在图对抗攻击领域是让扰动后的图上重训练的模型性能变差,这种攻击被称为投毒攻击。 图卷积网络 图卷积网络被用来解决半监督结点分类问题。 经典的论文 (1)Adversarial Attacks on
ViLD:Open-vocabulary Object Detection via Vision and Language Knowledge Distillation,ICLR 2022
12-26
### ViLD 开放词汇物体检测研究解析 #### 背景与动机 传统的物体检测模型通常局限于预定义的一组类别,这极大地限制了这些模型的应用范围。随着实际应用场景的需求日益多样化,开发能够识别任意文本描述对象的开放词汇物体检测成为一个重要课题。然而,现有物体检测数据集仅覆盖有限数量的类别,并且扩展此类数据集的成本极高。 为此,研究人员引入了一种名为 **ViLD** 的新方法[^1],旨在利用视觉和语言知识蒸馏技术解决上述挑战。这种方法不仅提高了模型对于未曾见过类别的泛化能力,还显著提升了跨不同数据集的表现效果。 #### 方法概述 ViLD的核心理念在于借助大规模预训练的语言理解模型作为教师网络,指导基于卷积神经网络的学生探测器学习如何关联给定的文字说明与其对应的图像特征表示。具体实现过程如下: - **教师模型的选择**: 使用已经过充分训练并具备强大表征能力的大规模多模态Transformer架构充当教师角色; - **学生模型的设计**: 构建了一个双阶段目标定位框架作为学生端,其中包含了用于生成候选框提议机制以及负责最终分类决策的部分; - **知识传递策略**: 教师会针对每一个可能的兴趣点提供相应的语义向量表达形式,而学生则尝试模仿这种映射关系,使得所预测出来的边界框位置及其所属种类尽可能接近于预期结果。 通过这种方式,即使是在缺乏特定标签样本的情况下,也能让机器学会辨识那些从未接触过的实体实例。 #### 实验验证 为了评估提出的方案有效性,在多个公开可用的数据集中进行了广泛的测试实验。结果显示,相比于传统监督式学习方式以及其他同类先进算法而言,采用ViLD可以获得更优的成绩指标。特别是在处理稀有物种或是全新领域内的图片素材时表现出色,证明了该思路具有良好的迁移性和适应性[^3]。 ```python import torch from transformers import CLIPProcessor, CLIPModel def get_teacher_embeddings(image_paths, text_descriptions): processor = CLIPProcessor.from_pretrained('openai/clip-vit-base-patch32') model = CLIPModel.from_pretrained('openai/clip-vit-base-patch32') inputs = processor(text=text_descriptions, images=image_paths, return_tensors="pt", padding=True) outputs = model(**inputs) image_features = outputs.image_embeds.detach().numpy() text_features = outputs.text_embeds.detach().numpy() return image_features, text_features ```
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值