Lichao Sun and Yingtong Dou and Carl Yang and Ji Wang and Philip S. Yu and Bo Li, Adversarial Attack and Defense on Graph Data: A Survey. arXiv:1812.10528
阅读更多,欢迎关注公众号:论文收割机(paper_reader)
因为排版问题,很多图片和公式无法直接显示,欢迎关注我们的公众号点击目录来阅读原文。
引言
我们之前在公众号中陆续介绍了图数据对抗攻击与防御的相关文章,包括最受关注的 KDD 2018 Best Paper 和 ICML 2018 关于图数据上攻击的两篇论文。以及 2019 年 ICML 和 KDD 关于图模型鲁棒性的两篇论文。
我们还介绍过于2018 年底公开的一篇图数据对抗攻击与防御的综述。彼时,只有六篇左右相关工作,而到了一年半以后的今天,图数据对抗与攻击已经有七十多篇工作。
上面这篇综述于2020年4月更新了第二版,增加了对35 篇攻击和 30 篇防御论文的分类和总结。我们这篇推送主要介绍其文章架构和内容特色,感兴趣的读者可在 ArXiv 上下载原文进行阅读(点击文末阅读原文可直接前往)。
背景
对于机器学习的模型的攻击,最早主要是计算机安全的研究方向。随着深度学习在计算机视觉上的成功应用以及对抗生成网络(GAN)的提出,在机器学习和数据挖掘领域,越来越多的人开始关注模型的安全问题。
随着 2017 年图神经网络横空出世,因为其相对于图片和文本信息的拥有更离散化的结构特征,对图神经网络的安全研究自然而然成为一个独立且颇具研究价值的方向。
根据目前大部分工作对于图数据攻击的定义,我们可以将其概括为:通过修改图数据的某些特征(例如加边,删边),从而逃避目标模型(例如 GCN)的检测,或者降低目标模型的整体表现(例如降低分类准确率)。
相对应的,图数据上的防御就是提出一些措施来降低攻击的效果,提升模型的鲁棒性。
当然,在图数据上面的攻击和防御有不同的图类型,不同的任务,不同的目标,不同的策略,不同的手段,以及不同的评价指标。这也是这篇综述的特点之一,即从各个维度对目前的工作进行了分类和总结。
表1:根据文章是否基于 GNN 进行分类
文章架构
本文采用了总分的结构。第一章介绍背景和文章贡献,第二章介绍了图的基本概念以及图上的学习任务和应用场景。
第三章主要介绍图数据上的攻击的定义,以及相关工作。因为图数据的攻击研究比较早,而且相关工作较多,所以攻击的介绍涵盖了图数据对抗学习的基本类别和术语。例如攻击的任务,目标,知识,方法等等。
第四章介绍了图数据的防御,根据相关工作采取的防御措施的异同分了几个主要类别来讲。例如最主流的对抗训练方法(Adversarial Training)还有攻击检测方法(Attack Detection)方法。
第三第四章在介绍所有方法之后,在各自的最后一小节还对所有的方法进行了综合分析,分析了其的局限性和未来的研究方向。
为了让读者快速上手图对抗学习的研究和实践,该综述在第五章和第六章分别总结了现有文章使用的评价指标和数据集。
介绍评价指标(Evaluation Metric),是因为在评价图数据对抗攻击和防御表现的时候,除了传统的分类、排序、聚类等指标外,还有一些特有的指标来衡量攻击和防御的效果。例如,目前最常用的 Average Success Rate (平均成功率),即成功攻击的次数占所有攻击次数的比例。
介绍数据集,是为了让读者更快地了解现有工作主要基于什么任务和数据集,帮助确定自己的研究方向。综述还列出了一些关注度比较低的数据集和应用场景,作为未来研究方向供读者参考。
表 4:主流数据集统计信息及类别
本文在附录中还列举了现有工作的开源代码链接。
表 5:现有算法开源代码链接
内容亮点
亮点 1:本文用两张分别占一整页的表格对现有攻击和防御工作进行了细致的分类总结。
在攻击部分,表格根据攻击的模型,任务,策略,手段,基线,评价指标,数据集进行分类。
值得注意的是,所有文章是基于公开时间升序排列,有助于读者了解研究发展脉络。表格对攻击的策略(Strategy)和手段(Approach)进行区分,策略是指设计攻击方法的算法思想(例如使用强化学习),而手段是指具体攻击时采用的方法(例如加边减边)。
表 2: 攻击文献分类总结(部分)
在防御相关工作总结部分,表格介绍了防御的任务,模型,对应的攻击,防御策略,基线,评价指标和数据集。
介绍防御对应的攻击,有助于读者快速现有工作主要对哪些攻击方法做防御。
表 3: 防御文献分类总结(部分)
亮点 2:本文对用一个统一的框架对图数据上的攻击进行了定义(3.1 章)。
因为对图数据的攻击不仅限于图神经网络,也不仅限于节点分类任务,所以本文用一个高度概括的的公式对攻击任务进行总结:
其中,f 是图数据上的任务,可以是节点/图的分类任务,也可以是链路预测和节点聚类任务,c 代表的是攻击的目标,可以是节点,边,或者模型,G 表示图数据,y 代表数据的标签信息,L 是损失函数,\theta 代表整个任务中的所有参数,\Theta 代表图数据的干扰空间。
所以,对图数据的攻击可以概括为一个 minimax 问题,即寻找到最优的参数\theta,使得其在原始图上的 loss 最小,在受干扰的图上的 loss 最大。上面的公式几乎可以概括目前所有图数据攻击的的形式。
亮点 3:本文对评价指标和数据集做了细致分类和总结。
本文除了对常用评价指标进行分类,还对相关工作提出或者使用到的特殊指标进行细致总结,一共总结了14 种特殊指标。并且每种指标都列出了使用它的相关工作。
在数据集部分,该综述也总结了每个数据集的应用任务,列出了使用数据集的相关工作信息。
亮点 4:本文使用GitHub对最新文章进行追踪。
因为该领域发展迅速,本文为了更好地追踪最新工作信息,还建立了一个每周更新的 GitHub Repo 列表对最新工作进行总结整理。列表链接如下:
https://tinyurl.com/r34fm5z
总结
图数据对抗与攻击是一个新兴研究领域,目前大部分工作都对 GCN 的节点分类任务进行攻击与防御。在未来,攻击与防御应该可以拓展更多的任务和场景中,同样,一些更加实际的,复杂的对抗场景也有待进一步研究。
阅读更多,欢迎关注公众号:论文收割机(paper_reader)
因为排版问题,很多图片和公式无法直接显示,欢迎关注我们的公众号点击目录来阅读原文。
往期文章:
WSDM'20 | 如何构建推荐系统中的商品知识图谱
KDD 2019' 异构信息网络上的对抗生成学习
图卷积网络背后的奥秘(附相关资料&论文推荐)
KDD’19 | 图神经网络预测知识图谱中的节点重要性
