Lichao Sun and Yingtong Dou and Carl Yang and Ji Wang and Philip S. Yu and Bo Li, Adversarial Attack and Defense on Graph Data: A Survey. arXiv:1812.10528
閱讀更多,歡迎關注公衆號:論文收割機(paper_reader)
因爲排版問題,很多圖片和公式無法直接顯示,歡迎關注我們的公衆號點擊目錄來閱讀原文。
引言
我們之前在公衆號中陸續介紹了圖數據對抗攻擊與防禦的相關文章,包括最受關注的 KDD 2018 Best Paper 和 ICML 2018 關於圖數據上攻擊的兩篇論文。以及 2019 年 ICML 和 KDD 關於圖模型魯棒性的兩篇論文。
我們還介紹過於2018 年底公開的一篇圖數據對抗攻擊與防禦的綜述。彼時,只有六篇左右相關工作,而到了一年半以後的今天,圖數據對抗與攻擊已經有七十多篇工作。
上面這篇綜述於2020年4月更新了第二版,增加了對35 篇攻擊和 30 篇防禦論文的分類和總結。我們這篇推送主要介紹其文章架構和內容特色,感興趣的讀者可在 ArXiv 上下載原文進行閱讀(點擊文末閱讀原文可直接前往)。
背景
對於機器學習的模型的攻擊,最早主要是計算機安全的研究方向。隨着深度學習在計算機視覺上的成功應用以及對抗生成網絡(GAN)的提出,在機器學習和數據挖掘領域,越來越多的人開始關注模型的安全問題。
隨着 2017 年圖神經網絡橫空出世,因爲其相對於圖片和文本信息的擁有更離散化的結構特徵,對圖神經網絡的安全研究自然而然成爲一個獨立且頗具研究價值的方向。
根據目前大部分工作對於圖數據攻擊的定義,我們可以將其概括爲:通過修改圖數據的某些特徵(例如加邊,刪邊),從而逃避目標模型(例如 GCN)的檢測,或者降低目標模型的整體表現(例如降低分類準確率)。
相對應的,圖數據上的防禦就是提出一些措施來降低攻擊的效果,提升模型的魯棒性。
當然,在圖數據上面的攻擊和防禦有不同的圖類型,不同的任務,不同的目標,不同的策略,不同的手段,以及不同的評價指標。這也是這篇綜述的特點之一,即從各個維度對目前的工作進行了分類和總結。
表1:根據文章是否基於 GNN 進行分類
文章架構
本文采用了總分的結構。第一章介紹背景和文章貢獻,第二章介紹了圖的基本概念以及圖上的學習任務和應用場景。
第三章主要介紹圖數據上的攻擊的定義,以及相關工作。因爲圖數據的攻擊研究比較早,而且相關工作較多,所以攻擊的介紹涵蓋了圖數據對抗學習的基本類別和術語。例如攻擊的任務,目標,知識,方法等等。
第四章介紹了圖數據的防禦,根據相關工作採取的防禦措施的異同分了幾個主要類別來講。例如最主流的對抗訓練方法(Adversarial Training)還有攻擊檢測方法(Attack Detection)方法。
第三第四章在介紹所有方法之後,在各自的最後一小節還對所有的方法進行了綜合分析,分析了其的侷限性和未來的研究方向。
爲了讓讀者快速上手圖對抗學習的研究和實踐,該綜述在第五章和第六章分別總結了現有文章使用的評價指標和數據集。
介紹評價指標(Evaluation Metric),是因爲在評價圖數據對抗攻擊和防禦表現的時候,除了傳統的分類、排序、聚類等指標外,還有一些特有的指標來衡量攻擊和防禦的效果。例如,目前最常用的 Average Success Rate (平均成功率),即成功攻擊的次數佔所有攻擊次數的比例。
介紹數據集,是爲了讓讀者更快地瞭解現有工作主要基於什麼任務和數據集,幫助確定自己的研究方向。綜述還列出了一些關注度比較低的數據集和應用場景,作爲未來研究方向供讀者參考。
表 4:主流數據集統計信息及類別
本文在附錄中還列舉了現有工作的開源代碼鏈接。
表 5:現有算法開源代碼鏈接
內容亮點
亮點 1:本文用兩張分別佔一整頁的表格對現有攻擊和防禦工作進行了細緻的分類總結。
在攻擊部分,表格根據攻擊的模型,任務,策略,手段,基線,評價指標,數據集進行分類。
值得注意的是,所有文章是基於公開時間升序排列,有助於讀者瞭解研究發展脈絡。表格對攻擊的策略(Strategy)和手段(Approach)進行區分,策略是指設計攻擊方法的算法思想(例如使用強化學習),而手段是指具體攻擊時採用的方法(例如加邊減邊)。
表 2: 攻擊文獻分類總結(部分)
在防禦相關工作總結部分,表格介紹了防禦的任務,模型,對應的攻擊,防禦策略,基線,評價指標和數據集。
介紹防禦對應的攻擊,有助於讀者快速現有工作主要對哪些攻擊方法做防禦。
表 3: 防禦文獻分類總結(部分)
亮點 2:本文對用一個統一的框架對圖數據上的攻擊進行了定義(3.1 章)。
因爲對圖數據的攻擊不僅限於圖神經網絡,也不僅限於節點分類任務,所以本文用一個高度概括的的公式對攻擊任務進行總結:
其中,f 是圖數據上的任務,可以是節點/圖的分類任務,也可以是鏈路預測和節點聚類任務,c 代表的是攻擊的目標,可以是節點,邊,或者模型,G 表示圖數據,y 代表數據的標籤信息,L 是損失函數,\theta 代表整個任務中的所有參數,\Theta 代表圖數據的干擾空間。
所以,對圖數據的攻擊可以概括爲一個 minimax 問題,即尋找到最優的參數\theta,使得其在原始圖上的 loss 最小,在受干擾的圖上的 loss 最大。上面的公式幾乎可以概括目前所有圖數據攻擊的的形式。
亮點 3:本文對評價指標和數據集做了細緻分類和總結。
本文除了對常用評價指標進行分類,還對相關工作提出或者使用到的特殊指標進行細緻總結,一共總結了14 種特殊指標。並且每種指標都列出了使用它的相關工作。
在數據集部分,該綜述也總結了每個數據集的應用任務,列出了使用數據集的相關工作信息。
亮點 4:本文使用GitHub對最新文章進行追蹤。
因爲該領域發展迅速,本文爲了更好地追蹤最新工作信息,還建立了一個每週更新的 GitHub Repo 列表對最新工作進行總結整理。列表鏈接如下:
總結
圖數據對抗與攻擊是一個新興研究領域,目前大部分工作都對 GCN 的節點分類任務進行攻擊與防禦。在未來,攻擊與防禦應該可以拓展更多的任務和場景中,同樣,一些更加實際的,複雜的對抗場景也有待進一步研究。
閱讀更多,歡迎關注公衆號:論文收割機(paper_reader)
因爲排版問題,很多圖片和公式無法直接顯示,歡迎關注我們的公衆號點擊目錄來閱讀原文。
往期文章: