ICLR2022《Understanding and Improving Graph Injection Attack by Promoting Unnoticeability》

已于 2022-05-02 13:50:22 修改
阅读量1.7k 收藏 3
点赞数 3
分类专栏: PaperReading 文章标签: 机器学习
于 2022-04-03 21:19:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fiercecoding/article/details/123944666
版权
本文探讨了图对抗攻击中的两种主要方法,即图注入攻击(GIA)和图修改攻击(GMA)。尽管GIA在某些情况下效果更优,但其灵活性可能导致对图的同质性分布造成损害,从而易被同质性防御策略所抵消。为了解决这个问题,作者提出了同质不可见性(homophily unnoticeability)的概念,并设计了和谐对抗目标(HAO),以确保GIA在保持同质性的同时进行有效攻击。实验表明,基于HAO的GIA能够突破同质性防御,提高攻击效果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文链接:https://arxiv.org/pdf/2202.08057.pdf

evasion attack

1 Abstract and Introduction

现有的图对抗攻击主要有两种,图注入攻击(Graph Injection Attack,GIA)和图修改攻击(Graph Modification Attack,GMA);前者是一种更实际的攻击场景,它通过往图中注入恶意节点来实现攻击,后者通过修改原图中的节点或边来实现攻击。虽然 GIA 取得了比较令人满意的结果,但是我们并不知道这种方法为什么会成功以及这种成功背后存在着什么缺点。为了理解 GIA 的能力,将 GIA 和 GMA 进行比较发现 GIA 成功的原因是由于它具有较高的灵活性,但这种灵活性是以对原图同质性分布(homophily distribution)的损害为代价的,如邻域间的相似性。因此,为了恢复原来的同质性而设计的基于同质性的防御可以很容易地减轻甚至防止 GIA 带来的的威胁。为了缓解这一问题,我们引入了一种新的约束——同质不可见性(homophily unnoticeability),以强制 GIA 保持同质性,并提出了和谐对抗目标(Harmonious Adversarial Objective,HAO)作为实例。大量的实验证明,使用 HAO 的 GIA 能够突破基于同质性的防御,并且明显优于以往的 GIA 攻击。本文的方法可以更可靠地评估 GNNs 的鲁棒性。

GIA 的灵活性使 GIA 能够将 GMA 的扰动映射到特定的 GIA 扰动中,并进一步优化映射的扰动以放大损伤(图1a)。然而,根据没有免费午餐的原则,进一步发现 GIA 的能力是建立在对原图同质性的严重破坏之上的同质性是指节点连接到具有相似特征或标签的节点的趋势,这对现有的大多数 GNNs 的成功都至关重要。由于非鲁棒模型仅通过利用同质性损伤的性质就可以很容易地减轻甚至阻止 GIA 的鲁棒性,因此严重的同质性损伤会使 GIA 评估鲁棒性的有效性失效。

在观察到同质性的破坏之后,可以直接设计一种旨在恢复同质性的防御机制,称之为同质性防御者(homophily defenders)同质性防御者对 GIA 攻击具有较强的鲁棒性。理论上,它们可以有效减少 GIA 造成的危害,使其低于 GMA。根据经验,使用边修剪的同质防御者的简单实现甚至可以恶化最先进的 GIA 攻击(图1b)。忽略对同质性的损害将使 GIA 变得无能为力,进一步限制了其在评估 GNNs 鲁棒性方面的应用。

为了使 GIA 能够有效地评估各种健壮的 GNNs,在开发 GIA 时必须注意保持同质性。为此,引入了一种新的约束——同质不可见性,该约束强制 GIA 保持原始图的同质性,可以作为图对抗学习中不可见约束的补充。为了实例化同质不可见性,我们提出了 GIA 的和谐对抗目标(HAO)(图1c)。具体来说,HAO 通过对攻击过程中的同质性分布偏移进行正则化,引入了一种新颖的同质约束可微实现。这样,对手(adversaries)就不容易被同质防御者识别,同时仍在进行有效的攻击(图1b)。在6个基准上的38个防御模型的广泛实验表明,基于 HAO 的 GIA 可以突破同质性防御者,在所有设置下(包括非目标攻击和目标攻击)均显著优于此前的所有工作。

本文贡献

在一个统一的环境对 GIA 和 GMA 进行了正式的比较,发现 GIA 比 GMA 更有害是由于其具有较高的灵活性(定理1)。

但 GIA 的这种灵活性也会给同质性分布带来巨大的损害,使得 GIA 可以容易地被同质性防御者进行防御(定理2)。

为了缓解这一问题,引入了同质不可见性的概念和一个新颖的目标 HAO 来进行同质不可见攻击(定理3)。

2 Preliminaries

2.1 Graph Neural Networks

考虑一个有节点集和边集的图是邻接矩阵,是节点特征向量。对半监督节点分类任务感兴趣。给定 C 个类别的标签集,通过最小化分类损失(如交叉熵),可以在训练(子)图上训练经 θ 参数化的图神经网络。训练后的可以对测试图中节点的标签进行预测。GNN 通常遵循邻域聚合方案来递归地更新节点表示:

其中是节点 u 邻域的节点集,是节点 u 经过 k 次聚合后的隐层表示,是如 ReLU 的激活函数,是如 MEAN 或 SUM 的聚合函数。

2.2 Graph Adversarial Attack

图对抗攻击的目标是在有限预算(budget)内通过构建图来欺骗在图上训练的 GNN 模型给定受害节点集,图的对抗攻击一般可以表示为:

 

其中通常取为

Graph Modification Attack (GMA). GMA 通过修改原图的图结构和节点特征来生成扰动后的图。GMA 中的约束用来限制

最低0.47元/天 解锁文章
【论文学习】TDGIA: Effective Injection Attacks on Graph Neural Networks论文学习
qq_38391210的博客
08-25 1512
摘要 在这篇文章中,作者研究了图上的一种攻击,GIA图注入攻击。这篇文章的攻击方法并没有修改原图的链路结构(删除或者是添加边)或者是结点属性,而是直接往图上注入(inject)对抗结点。作者提出了拓扑缺陷图注入攻击(TDGIA),首先使用拓扑缺陷边选择策略来选择和注入结点有联系的原始图上的结点。然后使用平滑特征优化方法来获取注入结点的特征。在大型数据集上的实验表明,TDGIA的表现要优于已有的攻击baseline的结果。作者拿自己的攻击方法参加了KDD-CUP2020的比赛,发现使用了TDGIA后GNN模型
KDD2018《Adversarial Attacks on Neural Networks for Graph Data》 论文详解
专注。
03-26 4228
论文链接:https://arxiv.org/pdf/1805.07984.pdf Abstract 本文介绍了第一个在属性图上进行对抗攻击的研究,特别关注利用图卷积的思想模型。除了在测试阶段进行攻击,本文进行了更具挑战的poisoning attack(聚焦于机器学习模型的训练阶段)类别。在考虑实例间依赖关系的情况下,针对节点特征和图结构进行对抗扰动(adversarial perturbation)。通过保证重要的数据特征保证扰动是不可见的(unnoticeable)。为了解决底层的离散域(disc
图神经网络对抗攻击(图注入攻击)
weixin_44809488的博客
10-06 2786
图神经网络在各种实际应用中都取得了良好的性能。然而,最近的研究发现,GNN容易受到对抗攻击。本文研究了最近引入的一种针对**图注入攻击(GIA)**的真实攻击场景。在GIA场景中,攻击者无法修改输入图的现有连接结构或节点属性,而是通过向其中注入攻击节点来执行攻击。*我们分析了GNN在GIA设置下的拓扑脆弱性,并在此基础上提出了用于有效注入攻击的拓扑缺陷图注入攻击(TDGIA)*TDGIA首先引入拓扑脆弱边选择策略来选择原始节点与注入节点连接。然后设计平滑特征优化目标,为注入节点生成特征。
图对抗攻击及防御算法种类
weixin_42374938的博客
10-24 3732
一、 图对抗攻击 按照攻击算法在图中添加扰动的不同阶段,可以将图对抗攻击分为两类,分别为逃逸攻击和投毒攻击。其中逃逸攻击是攻击者构造对抗样本在模型测试简短欺骗目标模型,而投毒攻击是攻击者在模型训练阶段向训练集中注入对抗样本,使得训练后的模型具有误导性。 经典的图对抗攻击主要有如下几种: Nettack:利用图卷积网络的梯度信息修改图数据,使得目标节点被错误分类为指定类别。这种攻击方法是对属性图进行攻击的算法。 Metattack:利用元学习将图作为优化目标产生用于攻击的图数据。 RL-S2V:将强化学习引入
图神经网络对抗攻击的综述
qq_38391210的博客
08-25 3252
摘要
ICLR 2022最佳论文解读
fareise的博客
08-20 1428
ICLR 2022最佳论文解读
2019-ICLR-Confidence-based Graph Convolutional Networks for Semi
08-04
在本篇论文“2019-ICLR-Confidence-based Graph Convolutional Networks for Semi”中,作者探讨了在图卷积网络(Graph Convolutional Networks, GCNs)框架下进行半监督学习(Semi-Supervised Learning, SSL)时,...
2019-ICLR-GENERATIVE MODELS FOR GRAPH-BASED PROTEIN DESIGN-RRRR-
08-04
论文“2019-ICLR-GENERATIVE MODELS FOR GRAPH-BASED PROTEIN DESIGN-RRRR-”在ICLR 2019的工作坊中发表,由John Ingraham, Vikas K. Garg, Regina Barzilay和Tommi Jaakkola等人撰写,他们均来自MIT的CSAIL实验室。...
论文笔记| Adversarial Attack on Graph Structured Data
最新发布
ChA0s007的博客
05-28 1220
本文关注通过修改数据的组合结构来欺骗深度学习模型的对抗性攻击。本文首先提出了一种基于强化学习的攻击方法,该方法学习可推广的攻击策略,同时只需要目标分类器的预测标签。在可以获得额外的预测置信度或梯度的情况下,本文进一步提出了基于遗传算法和梯度下降的攻击方法。
图神经网络对抗攻击与防御
12-23
图神经网络对抗攻击与防御PPT,分享了Nettack和GNNGUARD
Graph-Adversarial-Learning:图形数据的对抗性攻击和防御的精选集合
02-04
Graph-Adversarial-Learning:图形数据的对抗性攻击和防御的精选集合
基于图神经网络的对抗攻击防御 GNNGUARD: Defending Graph Neural Networks against Adversarial Attacks
随便记记笔记
12-23 2484
参考资料 项目:https://zitniklab.hms.harvard.edu/projects/GNNGuard/ 代码:https://github.com/mims-harvard/GNNGuard paper:https://arxiv.org/abs/2006.08149 poster:https://zitniklab.hms.harvard.edu/publications/posters/GNNGuard-NeurIPS20.pdf 介绍 论文来自于NeurIPS 2020,题目是G
文献阅读(71)WWW2022-CGC: Contrastive Graph Clustering for Community Detection and Tracking
优快云TianJi的博客
07-31 1057
本文是对《CGC: Contrastive Graph Clustering for Community Detection and Tracking》一文的总结,如有侵权即刻删除。
【论文学习】图神经网络对抗攻击顶会论文汇总(2018-2021年)
qq_38391210的博客
08-19 7123
图对抗攻击 在信贷领域,结合贷款人的金钱交易来评估他的信用情况,人与人的交易记录就是用图来表示。 对于图来说,特征往往是离散的(例如图的结构特征,一条边要么存在,要么不存在)。 对于图来说,很难定义图上的微小扰动。 在图像对抗攻击领域,通常是在训练好的模型上输入扰动图片使其预测错误evasion attack,但是在图对抗攻击领域是让扰动后的图上重训练的模型性能变差,这种攻击被称为投毒攻击。 图卷积网络 图卷积网络被用来解决半监督结点分类问题。 经典的论文 (1)Adversarial Attacks on
图的对抗性攻击与防御
u013222658的博客
04-16 5688
Adversarial Attacks and Defenses on GraphsA Review and Empirical Study --图的对抗性攻击与防御:回顾与实证研究 (2020-03-03发表文章内容中文翻译)摘要1 介绍2 原则和定义2.1 Learning on Graph Data2.2 图对抗攻击的一般形式2.3 记号3 图形攻击的分类法3.1 攻击者的能力3.2 ...
【RS Attack and Defense系列汇总】十三篇论文解读梳理推荐系统的攻击与防御(附部分代码实现)
chadlee
03-21 1127
攻击 一、【RS-Attack】攻击MF:Data Poisoning Attacks on Factorization-Based Collaborative Filtering (NIPS‘16) 二、【RS-Attack】Poisoning Attacks to Graph-Based Recommender Systems (ACSAC‘18) 三、【RS-Attack】Data Poisoning Attacks to Deep Learning Based Recommender Systems
【每日一读】Pro-GNN:Graph Structure Learning for Robust Graph Neural Networks
海到无边天作岸 山登绝顶我为峰
09-25 2242
Hello!ଘ(੭ˊᵕˋ)੭昵称:海轰标签:程序猿|C++选手|学生简介:因C语言结识编程,随后转入计算机专业,获得过国家奖学金,有幸在竞赛中拿过一些国奖、省奖…已保研学习经验:扎实基础 + 多做笔记 + 多敲代码 + 多思考 + 学好英语!唯有努力💪【每日一读】每天浅读一篇论文,了解专业前沿知识,培养阅读习惯(阅读记录 仅供参考)原文链接:https://dl.acm.org/doi/10.1145/3394486.3403049。
防御。。。。
Ruizxzx的博客
06-28 868
(1)Structure-Preserving Progressive Low-rank Image Completion for Defending Adversarial Attacks 深度神经网络通过分析局部图像细节并沿着推理层总结其信息来识别目标,从而得出最终的决策。正因为如此,它们容易受到对抗性的攻击。输入图像中的小而复杂的噪声会沿着网络推理路径累积,并在网络输出中产生错误的决策。另一方面,人眼是基于物体的整体结构和语义线索来识别物体的,而不是基于图像的局部纹理。正因为如此,人眼仍然可以清楚地
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值