陳晉音，張敦杰，黃國瀚，林翔，鮑亮

面向圖神經(jīng)網(wǎng)絡(luò)的對(duì)抗攻擊與防御綜述

陳晉音1,2，張敦杰2，黃國瀚2，林翔2，鮑亮3

（1.浙江工業(yè)大學(xué)網(wǎng)絡(luò)空間安全研究院，浙江 杭州 310023；2. 浙江工業(yè)大學(xué)信息工程學(xué)院，浙江 杭州 310023；3. 信息網(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室，上海 200000）

面向已有的圖神經(jīng)網(wǎng)絡(luò)的攻擊與防御方法，較全面地綜述了圖神經(jīng)網(wǎng)絡(luò)對(duì)抗攻防技術(shù)與魯棒性分析。首先，綜述了圖神經(jīng)網(wǎng)絡(luò)在不同任務(wù)下的對(duì)抗攻擊與基于不同策略的防御方法，并全面介紹了魯棒性分析技術(shù)；隨后，介紹了常用的基準(zhǔn)數(shù)據(jù)集與評(píng)價(jià)指標(biāo)；最后，提出了未來可能的研究方向和發(fā)展趨勢(shì)。

圖神經(jīng)網(wǎng)絡(luò)；對(duì)抗攻擊；防御算法；魯棒性分析

1 引言

隨著人工智能技術(shù)的研究與發(fā)展，深度學(xué)習(xí)在自然語言處理[1-3]、圖像識(shí)別[4]、信號(hào)處理[5]、物體識(shí)別[6]等領(lǐng)域中表現(xiàn)不俗，卷積神經(jīng)網(wǎng)絡(luò)就是其中的典型代表之一。圖數(shù)據(jù)由于其強(qiáng)大的表達(dá)能力，在現(xiàn)實(shí)生活中有著廣泛的應(yīng)用[7]。但是基于圖結(jié)構(gòu)不具有平移不變性，每一個(gè)節(jié)點(diǎn)周圍結(jié)構(gòu)可能大不相同，這使傳統(tǒng)的深度學(xué)習(xí)模型難以發(fā)揮作用。針對(duì)具有不規(guī)則的空間結(jié)構(gòu)的圖數(shù)據(jù)，研究人員[8-11]嘗試將神經(jīng)網(wǎng)絡(luò)推廣用以處理任意結(jié)構(gòu)的圖，圖神經(jīng)網(wǎng)絡(luò)[12-16]應(yīng)運(yùn)而生。

圖神經(jīng)網(wǎng)絡(luò)可以巧妙地從圖數(shù)據(jù)中提取特征，而這些被提取出來的特征可以完成許多圖數(shù)據(jù)分析任務(wù)，如節(jié)點(diǎn)分類[17-18]、鏈路預(yù)測(cè)[19-20]、社區(qū)發(fā)現(xiàn)[21-22]和圖分類[23]等。這些圖數(shù)據(jù)分析任務(wù)又被廣泛應(yīng)用于社交網(wǎng)絡(luò)[24]、推薦系統(tǒng)[25-26]、電子商務(wù)網(wǎng)絡(luò)[27]等實(shí)際場(chǎng)景。假如應(yīng)用于這些實(shí)際場(chǎng)景的圖神經(jīng)網(wǎng)絡(luò)算法存在明顯的漏洞，可能會(huì)帶來嚴(yán)重的后果。例如，在電子商務(wù)領(lǐng)域，網(wǎng)絡(luò)水軍的存在給真實(shí)用戶帶來了極大的困擾和誤導(dǎo)；在社交網(wǎng)絡(luò)中，一則虛假消息如果不能被有效地檢測(cè)出，有可能導(dǎo)致謠言散播，造成不良影響。因此，圖神經(jīng)網(wǎng)絡(luò)的安全性問題也是研究熱點(diǎn)之一。

在對(duì)圖神經(jīng)網(wǎng)絡(luò)的安全性研究過程中，研究者發(fā)現(xiàn)：圖神經(jīng)網(wǎng)絡(luò)很容易被一些微小的擾動(dòng)迷惑，這類擾動(dòng)被定義為對(duì)抗性擾動(dòng)。對(duì)抗攻擊發(fā)生在模型的測(cè)試階段，攻擊者根據(jù)模型結(jié)構(gòu)精心設(shè)計(jì)微小的擾動(dòng)，并將其添加在原始數(shù)據(jù)中，從而使圖神經(jīng)網(wǎng)絡(luò)模型誤判，達(dá)到愚弄圖神經(jīng)網(wǎng)絡(luò)模型的目的。而通過對(duì)圖神經(jīng)網(wǎng)絡(luò)的攻擊研究可以發(fā)現(xiàn)圖神經(jīng)網(wǎng)絡(luò)存在的缺陷。根據(jù)這些漏洞提出相應(yīng)的防御措施來增強(qiáng)模型的魯棒性顯得尤為重要。Zügner等[28]首次提出在圖上進(jìn)行對(duì)抗攻擊，他們提出的NETTACK算法通過重要的數(shù)據(jù)特征（如度分布）選擇候選的連邊和特征，在評(píng)估函數(shù)的指導(dǎo)下選擇修改得分最高的連邊或特征來生成微小的對(duì)抗性擾動(dòng)，并更新對(duì)抗性網(wǎng)絡(luò)，以此使圖神經(jīng)網(wǎng)絡(luò)失效。之后，面向圖神經(jīng)網(wǎng)絡(luò)的對(duì)抗攻擊方法的研究相繼展開：Dai[29]、Wang[30]、Zhou[31]、Bojchevski[32]、Sun[33]、Chen[34-37]等[38-45]紛紛加入了對(duì)抗攻擊的研究行列。此外，面向圖神經(jīng)網(wǎng)絡(luò)的防御方法的研究陸續(xù)展開，如Dai[29]等嘗試在訓(xùn)練中隨機(jī)丟棄一些連邊來達(dá)到一定的防御目的；Feng[46]、Chen[47]等利用對(duì)抗訓(xùn)練來使模型對(duì)對(duì)抗攻擊具有一定的魯棒性；而其他研究者分別從不同的角度提出了相應(yīng)的防御方法[48-56]。

Jin等[57]對(duì)現(xiàn)有的對(duì)抗攻擊方法進(jìn)行了一系列的描述和詳細(xì)分類。同樣地，Sun等[58]詳細(xì)闡述了面向圖卷積網(wǎng)絡(luò)的對(duì)抗攻擊方法。Chen等[59]根據(jù)攻擊的不同應(yīng)用場(chǎng)景和防御的不同原理分別對(duì)其進(jìn)行了系統(tǒng)的分類，并強(qiáng)調(diào)了相關(guān)評(píng)價(jià)指標(biāo)的重要性，對(duì)其進(jìn)行了全面的調(diào)查和總結(jié)。值得注意的是，他們的研究主要集中于分析現(xiàn)有的對(duì)抗攻擊和防御方法原理并對(duì)其分類。本文針對(duì)圖挖掘的不同應(yīng)用任務(wù)，分別詳細(xì)介紹現(xiàn)有的對(duì)抗攻擊、防御方法與相應(yīng)的評(píng)價(jià)指標(biāo)，并重點(diǎn)介紹模型魯棒性分析技術(shù)，最后總結(jié)圖挖掘攻防未來可能的研究方向。

本文旨在針對(duì)不同的攻擊分類標(biāo)準(zhǔn)與防御策略分別定義對(duì)抗攻擊與防御，并對(duì)已有的面向圖神經(jīng)網(wǎng)絡(luò)的對(duì)抗攻擊和防御方法、常用數(shù)據(jù)集及評(píng)價(jià)指標(biāo)進(jìn)行系統(tǒng)綜述，并展望面向圖神經(jīng)網(wǎng)絡(luò)攻防方法未來的可能研究方向和發(fā)展趨勢(shì)。圖神經(jīng)網(wǎng)絡(luò)魯棒性分析方法作為面向圖神經(jīng)網(wǎng)絡(luò)的防御方法中的一個(gè)分支，對(duì)模型或數(shù)據(jù)安全給出了更多的理論性分析與評(píng)估，本文同樣對(duì)當(dāng)前圖神經(jīng)網(wǎng)絡(luò)的魯棒性分析方法進(jìn)行了詳細(xì)的描述和分析。

2 圖神經(jīng)網(wǎng)絡(luò)攻防理論分析

本節(jié)首先介紹了圖神經(jīng)網(wǎng)絡(luò)常見的圖數(shù)據(jù)類型和主要的下游圖分析任務(wù)，隨后給出了圖神經(jīng)網(wǎng)絡(luò)攻擊的統(tǒng)一建模，最后分別介紹了圖神經(jīng)網(wǎng)絡(luò)攻擊與防御的理論定義，并根據(jù)攻擊與防御方法的不同層面進(jìn)行分類與分析。

2.1 圖神經(jīng)網(wǎng)絡(luò)

2.1.1 圖數(shù)據(jù)的類型

在實(shí)際應(yīng)用中，根據(jù)不同數(shù)據(jù)本身的特性，圖具有多種表現(xiàn)形式，本節(jié)進(jìn)一步介紹不同類型的圖數(shù)據(jù)。

同構(gòu)圖與異構(gòu)圖：在實(shí)際應(yīng)用中，節(jié)點(diǎn)與連邊往往存在多種類型。由多個(gè)類型的節(jié)點(diǎn)/連邊構(gòu)成的圖稱為異構(gòu)圖，如開放學(xué)術(shù)圖（OAG）[64]存在論文、作者、領(lǐng)域、機(jī)構(gòu)和地點(diǎn)5個(gè)類型的節(jié)點(diǎn)。類似于上述的Facebook數(shù)據(jù)集[61]，若圖僅包含一個(gè)類型的節(jié)點(diǎn)與連邊，則稱之為同構(gòu)圖。

表1 常用符號(hào)及定義

2.1.2 不同的下游任務(wù)

圖神經(jīng)網(wǎng)絡(luò)的發(fā)展促進(jìn)了許多下游的圖分析任務(wù)的應(yīng)用，本節(jié)根據(jù)下游分析任務(wù)關(guān)注的不同目標(biāo)（節(jié)點(diǎn)、連邊、圖和社區(qū)結(jié)構(gòu)），主要介紹4類圖挖掘任務(wù)：節(jié)點(diǎn)分類任務(wù)、鏈路預(yù)測(cè)任務(wù)、圖分類任務(wù)和社區(qū)檢測(cè)任務(wù)。

圖分析任務(wù)學(xué)習(xí)的統(tǒng)一表示為

2.2 攻擊統(tǒng)一建模

(3)

圖1為對(duì)抗攻擊的示意圖（以修改連邊為例），圖2為攻擊前后對(duì)后續(xù)任務(wù)的影響示意圖。

圖1 針對(duì)圖卷積神經(jīng)網(wǎng)絡(luò)的對(duì)抗攻擊

Figure1 Adversarial attack on graph neural network

2.3 圖神經(jīng)網(wǎng)絡(luò)攻擊原理

2.3.1 不同知識(shí)背景的攻擊

白盒攻擊：目標(biāo)模型的參數(shù)、訓(xùn)練數(shù)據(jù)、類標(biāo)和預(yù)測(cè)輸出均可知，攻擊者根據(jù)這些已知信息進(jìn)行攻擊策略的選擇，如利用模型的梯度信息產(chǎn)生攻擊。在實(shí)際情況中往往無法獲得這些信息，因此白盒攻擊常用于評(píng)估目標(biāo)模型在極端惡劣的情況下的魯棒性。

圖2 對(duì)抗攻擊對(duì)后續(xù)任務(wù)的影響

Figure2 Impacts of adversarial attacks on downstream tasks

黑盒攻擊：攻擊者對(duì)目標(biāo)模型的參數(shù)、訓(xùn)練數(shù)據(jù)、類標(biāo)和預(yù)測(cè)輸出均不可知，僅通過目標(biāo)模型的輸入和輸出信息實(shí)施攻擊，因此黑盒攻擊更具有挑戰(zhàn)性。

灰盒攻擊：在模型結(jié)構(gòu)不能完全已知情況下，使用帶有類標(biāo)的數(shù)據(jù)訓(xùn)練一個(gè)替代模型，近似目標(biāo)模型結(jié)構(gòu)，并對(duì)此模型實(shí)施白盒攻擊生成，完成對(duì)真實(shí)目標(biāo)模型的攻擊，稱之為灰盒攻擊。

2.3.2 不同攻擊策略

修改連邊：圖數(shù)據(jù)的拓?fù)浣Y(jié)構(gòu)在很大限度上決定了圖的特性，在指定的攻擊代價(jià)下增/刪網(wǎng)絡(luò)中的連邊數(shù)量以達(dá)到對(duì)圖數(shù)據(jù)拓?fù)浣Y(jié)構(gòu)的攻擊，往往能對(duì)圖神經(jīng)網(wǎng)絡(luò)產(chǎn)生明顯的影響。連邊攻擊的代價(jià)可以表示為

添加虛假節(jié)點(diǎn)及對(duì)應(yīng)連邊：攻擊者為了保存網(wǎng)絡(luò)原有節(jié)點(diǎn)與連邊的信息，通過向網(wǎng)絡(luò)中添加虛假節(jié)點(diǎn)和對(duì)應(yīng)的部分連邊實(shí)現(xiàn)攻擊，添加虛假節(jié)點(diǎn)通常伴隨著對(duì)應(yīng)連邊的增加，其攻擊代價(jià)可以表示為

2.3.3 不同的攻擊能力

2.3.4 不同的攻擊目標(biāo)

無目標(biāo)攻擊：以節(jié)點(diǎn)分類任務(wù)為例，無目標(biāo)攻擊并不關(guān)心目標(biāo)樣本的預(yù)測(cè)結(jié)果，只要預(yù)測(cè)是錯(cuò)誤的，就認(rèn)為攻擊成功。

目標(biāo)攻擊：要求圖神經(jīng)網(wǎng)絡(luò)將目標(biāo)樣本誤分類成攻擊者指定的類標(biāo)。從難度上來說，有目標(biāo)攻擊的實(shí)現(xiàn)難于無目標(biāo)攻擊。

2.3.5 不同的攻擊任務(wù)

根據(jù)上文所述的圖攻擊能力，中毒攻擊需要改變目標(biāo)模型的參數(shù)，這使中毒攻擊相較于對(duì)抗攻擊更加復(fù)雜。本文以中毒攻擊為例，介紹攻擊不同圖神經(jīng)網(wǎng)絡(luò)任務(wù)的原理。

以多個(gè)網(wǎng)絡(luò)作為輸入，實(shí)現(xiàn)對(duì)某個(gè)網(wǎng)絡(luò)的攻擊。

其中，表示連邊存在狀態(tài)，值為0或1，根據(jù)現(xiàn)有信息降低存在連邊的可能性。

其中，C為節(jié)點(diǎn)v所屬的社團(tuán)。

2.4 圖神經(jīng)網(wǎng)絡(luò)防御原理

隨著圖神經(jīng)網(wǎng)絡(luò)攻擊研究的逐步深入，面向圖神經(jīng)網(wǎng)緝私的防御方法的研究也進(jìn)展迅速，針對(duì)不同的對(duì)象提出了防御策略，可將防御問題描述如下。

本節(jié)根據(jù)防御策略的不同對(duì)當(dāng)前的防御方法進(jìn)行系統(tǒng)分類，并對(duì)一些面向圖神經(jīng)網(wǎng)絡(luò)的魯棒性方法進(jìn)行原理分析。

2.4.1 不同的防御策略

1) 對(duì)抗訓(xùn)練：常用防御方法之一，將對(duì)抗樣本打上正確類標(biāo)對(duì)模型進(jìn)行訓(xùn)練，使模型具備對(duì)應(yīng)攻擊方法的防御能力，該防御方法受對(duì)抗攻擊方法的限制，即對(duì)未知的對(duì)抗攻擊無法實(shí)現(xiàn)對(duì)抗訓(xùn)練完成防御。對(duì)抗訓(xùn)練分為兩種類型。

①在兩種相反的目標(biāo)函數(shù)（最小化和最大化）的指導(dǎo)下，在連續(xù)的最小?最大博弈中逐步優(yōu)化模型，目標(biāo)可以描述為

2) 對(duì)抗性擾動(dòng)檢測(cè)：一些工作更側(cè)重于對(duì)抗性攻擊的檢測(cè)，此類方法通過研究對(duì)抗性樣本和干凈樣本之間的差異實(shí)現(xiàn)對(duì)抗性擾動(dòng)檢測(cè)。對(duì)抗性擾動(dòng)檢測(cè)雖然不能起到直接防御的作用，但是可以作為一種對(duì)應(yīng)圖神經(jīng)網(wǎng)絡(luò)攻擊的監(jiān)控手段，提前發(fā)現(xiàn)對(duì)抗性擾動(dòng)以更有效率地進(jìn)行下一步的防御措施。

3) 啟發(fā)式：此類方法在可接受的花費(fèi)（指計(jì)算時(shí)間和空間）下給出圖神經(jīng)網(wǎng)絡(luò)訓(xùn)練中待解決組合優(yōu)化問題的每一個(gè)實(shí)例的一個(gè)可行解。

4) 圖純化：此類方法主要用于防御中毒攻擊。圖純化方法將受到中毒攻擊的圖數(shù)據(jù)進(jìn)行純化，然后在純化后的圖上訓(xùn)練圖神經(jīng)網(wǎng)絡(luò)模型。

5) 注意力機(jī)制：此類方法學(xué)習(xí)一種注意力機(jī)制，用來區(qū)分對(duì)抗性擾動(dòng)和干凈的樣本，通過懲罰對(duì)抗性節(jié)點(diǎn)或連邊上的權(quán)重來訓(xùn)練出魯棒的圖神經(jīng)網(wǎng)絡(luò)模型。

2.4.2 面向圖神經(jīng)網(wǎng)絡(luò)的魯棒性分析

圖神經(jīng)網(wǎng)絡(luò)的魯棒性分析同樣是攻防研究的重點(diǎn)方向，可以理解為圖神經(jīng)網(wǎng)絡(luò)的魯棒性分析是圖神經(jīng)網(wǎng)絡(luò)防御研究的一個(gè)方向。與其他防御方法不同，面向圖神經(jīng)網(wǎng)絡(luò)的魯棒性分析在防御對(duì)抗攻擊的同時(shí)，對(duì)模型或數(shù)據(jù)的安全性進(jìn)行評(píng)估。這種評(píng)估可以衡量不同網(wǎng)絡(luò)結(jié)構(gòu)和圖深度模型對(duì)對(duì)抗擾動(dòng)的敏感性，在網(wǎng)絡(luò)結(jié)構(gòu)重要性分析和圖深度模型的可解釋性研究中均具有關(guān)鍵性作用。

3 面向圖神經(jīng)網(wǎng)絡(luò)的對(duì)抗攻擊方法

上文對(duì)圖神經(jīng)網(wǎng)絡(luò)攻擊方法從不同幾個(gè)方面進(jìn)行了分類，并給出了對(duì)應(yīng)的原理分析，為了加深對(duì)圖神經(jīng)網(wǎng)絡(luò)攻擊的理解，本節(jié)總結(jié)圖神經(jīng)網(wǎng)絡(luò)攻擊的相關(guān)研究，并詳細(xì)介紹現(xiàn)有圖神經(jīng)網(wǎng)絡(luò)攻擊技術(shù)，對(duì)算法中一些和圖神經(jīng)網(wǎng)絡(luò)攻擊相關(guān)性較弱的部分只進(jìn)行簡單的探討。不同攻擊方法的側(cè)重點(diǎn)不同，根據(jù)攻擊所針對(duì)的任務(wù)類型，可以將這些方法分為：針對(duì)節(jié)點(diǎn)分類的攻擊方法、針對(duì)圖分類的攻擊方法、針對(duì)鏈路預(yù)測(cè)的攻擊方法和針對(duì)社區(qū)檢測(cè)的攻擊方法。需要指出的是，圖神經(jīng)網(wǎng)絡(luò)攻擊方法可以在不同的分類標(biāo)準(zhǔn)上做出多種分類結(jié)果，由于同種攻擊目標(biāo)任務(wù)的攻擊方法在攻擊結(jié)果上有更高的相似性，本節(jié)以不同的攻擊目標(biāo)任務(wù)作為分類標(biāo)準(zhǔn)，對(duì)現(xiàn)有的圖神經(jīng)網(wǎng)絡(luò)攻擊方法進(jìn)行回顧。表2是對(duì)圖神經(jīng)網(wǎng)絡(luò)攻擊方法的歸納，為保證行文的流暢性，本節(jié)的論述主要是按時(shí)間順序組織的[67]。

3.1 節(jié)點(diǎn)分類攻擊

3.1.1 NETTACK

針對(duì)節(jié)點(diǎn)分類任務(wù)，Zügner等[28]首次提出在圖上進(jìn)行對(duì)抗性攻擊，并提出了NETTACK算法，迭代生成對(duì)抗性網(wǎng)絡(luò)，以此對(duì)GCN[68]進(jìn)行攻擊。為了確保對(duì)抗擾動(dòng)不明顯，本節(jié)從3個(gè)角度分析擾動(dòng)大小限制問題。

（1）修改代價(jià)：為了確保攻擊者不能完全修改圖數(shù)據(jù)，算法首先通過一個(gè)代價(jià)限制允許的變化數(shù)量，限制節(jié)點(diǎn)屬性和鄰接矩陣的改變量的總和不能大于一個(gè)上限。

3.1.2 RL-S2V

表2 對(duì)抗攻擊算法分類

圖3 GeneticAlg示意

Figure 3 Illustration of GeneticAlg

圖4 GradArgmax示意

Figure 4 Illustration of GradArgmax

3.1.3 FGA

3.1.4 Greedy-GAN

Wang等[30]指出，在很多情景下，攻擊現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)或特征矩陣是不現(xiàn)實(shí)的。他們通過惡意添加虛假節(jié)點(diǎn)，并將虛假節(jié)點(diǎn)連接到已有節(jié)點(diǎn)實(shí)現(xiàn)對(duì)圖數(shù)據(jù)的攻擊。針對(duì)假節(jié)點(diǎn)鄰接矩陣和特征矩陣設(shè)計(jì)中的離散輸入空間問題，本文提出了一種貪婪算法來生成惡意節(jié)點(diǎn)的連邊及其對(duì)應(yīng)特征，以最小化目標(biāo)節(jié)點(diǎn)的分類精度。為了確保擾動(dòng)的隱蔽性，Greedy-GAN通過添加一個(gè)判別器，利用判別器與攻擊者的迭代訓(xùn)練確保虛假節(jié)點(diǎn)與真實(shí)節(jié)點(diǎn)的相似性。

3.1.5 ADW

3.1.6 Metattack

Zügner等[40]研究了針對(duì)節(jié)點(diǎn)分類的圖神經(jīng)網(wǎng)絡(luò)，擾亂離散圖結(jié)構(gòu)的訓(xùn)練中毒問題。文章提出了首個(gè)破壞全局節(jié)點(diǎn)分類性能的中毒攻擊Metattack，并將其表示為一個(gè)二次優(yōu)化問題。

Metattack的核心思想是使用元梯度來解決上述問題，本質(zhì)上是將圖結(jié)構(gòu)作為超參數(shù)，構(gòu)造元梯度來優(yōu)化。

3.1.7 控制圖結(jié)構(gòu)的圖分類攻擊

3.1.8 DAGAER

Avishek等[70]將對(duì)抗性攻擊視為一個(gè)生成模型問題，他們提出一種統(tǒng)一的編碼器?解碼器框架（DAGAER）來生成對(duì)抗性樣本的完整分布，能夠有效地為單個(gè)給定的輸入生成一組不同的攻擊。

圖5 DAGAER的主要組成部分與上代對(duì)抗性例子

Figure 5 The main components of DAGAER and the forward generation of an adversarial example

3.1.9 IG-FGSM/JSMA

Wu等[71]證明通過引入綜合梯度可以很容易地解決圖數(shù)據(jù)攻擊中的離散性問題，該梯度可以準(zhǔn)確地反映擾動(dòng)某些特征或連邊的效果，同時(shí)可充分利用并行計(jì)算提高效率。他們提出兩種梯度攻擊方法IG-FGSM與IG-JSMA，前者基于目標(biāo)模型的損失函數(shù)獲得梯度，而后者根據(jù)GCN模型輸出的預(yù)測(cè)結(jié)果獲得梯度。不同于FGA的梯度攻擊，該方法考慮到對(duì)節(jié)點(diǎn)屬性的攻擊，根據(jù)梯度計(jì)算連邊與節(jié)點(diǎn)屬性的重要性，選擇更重要的修改項(xiàng)（連邊或?qū)傩裕?，進(jìn)一步實(shí)現(xiàn)攻擊操作。

3.1.10 梯度投影攻擊

Xu等[72]提出了一種新的基于梯度的攻擊方法，使處理離散圖數(shù)據(jù)變得更加容易。他們提出一階攻擊生成框架的兩種攻擊場(chǎng)景：①攻擊一個(gè)預(yù)定義的GNN；②攻擊一個(gè)可再訓(xùn)練的GNN。針對(duì)這兩種場(chǎng)景，利用一階優(yōu)化，提出兩種新的拓?fù)涔簦和队疤荻认陆担≒GD）拓?fù)涔艉妥钚∽畲螅∕in-max）拓?fù)涔簟?/p>

3.1.11 GF-Attack

GF-Attack通過構(gòu)造對(duì)應(yīng)的圖濾波器來描述圖嵌入模型，以黑箱攻擊方式僅對(duì)圖過濾器進(jìn)行攻擊，改變節(jié)點(diǎn)的特征值，進(jìn)而影響網(wǎng)絡(luò)嵌入方法的輸出結(jié)果。

3.1.12 ReWatt

Ma等[39]指出，圖神經(jīng)網(wǎng)絡(luò)的攻擊通常是通過添加或刪除一些邊來實(shí)現(xiàn)的，即使修改的邊的數(shù)量很少，也可能會(huì)引起注意，因此提出了一個(gè)圖形重布線的操作（ReWatt）實(shí)現(xiàn)對(duì)圖神經(jīng)網(wǎng)絡(luò)的攻擊，它對(duì)圖的影響相對(duì)不明顯。ReWatt使用強(qiáng)化學(xué)習(xí)來學(xué)習(xí)基于重布線操作的攻擊策略。這種策略的一個(gè)明顯優(yōu)點(diǎn)是它不會(huì)改變圖的節(jié)點(diǎn)數(shù)、邊數(shù)和總度。然而，單一的添加或刪除操作可能會(huì)改變這些屬性。

3.1.13 NIPA

3.1.14 GUA

3.1.15 POISONPROBE

Takahashi等[74]指出，在圖卷積分類器中，一個(gè)節(jié)點(diǎn)的分類結(jié)果可能會(huì)受到它鄰居節(jié)點(diǎn)的影響。他們提出POISONPROBE，如圖6所示，該方法攻擊目標(biāo)節(jié)點(diǎn)兩跳甚至多跳鄰居節(jié)點(diǎn)的節(jié)點(diǎn)特征，實(shí)現(xiàn)對(duì)目標(biāo)節(jié)點(diǎn)的有效攻擊。

圖6 通過毒害單一節(jié)點(diǎn)的非直接對(duì)抗攻擊

Figure 6 Indirect adversarial attack by poisoning a single node

POISONPROBE首先給出了中毒節(jié)點(diǎn)的選擇方法：定義中毒效率分?jǐn)?shù)，類似于將中毒信息從候選者傳遞到目標(biāo)路徑的帶寬，如果分?jǐn)?shù)很小，中毒信息將通過路徑縮小，限制擾動(dòng)的大小。POISONPROBE算法由外環(huán)和內(nèi)環(huán)兩部分組成。內(nèi)環(huán)發(fā)現(xiàn)較小的擾動(dòng)，在幾個(gè)參數(shù)固定的情況下可以達(dá)到預(yù)期的目標(biāo)攻擊。然后，外環(huán)利用二叉搜索迭代地發(fā)現(xiàn)參數(shù)。如果內(nèi)部循環(huán)成功找到對(duì)抗的擾動(dòng)，它將降低內(nèi)環(huán)中初始常數(shù)λ。

3.1.16 MGA

3.2 鏈路預(yù)測(cè)攻擊

3.2.1 Triads Attack

圖7 CTR的主要思想說明

Figure 7 Illustration of the main idea of the CTR

圖8 OTC的主要思想說明

Figure 8 Illustration of the main idea of the OTC

3.2.2 IGA

針對(duì)鏈路預(yù)測(cè)任務(wù)，Chen等[35]提出了一種基于已訓(xùn)練的圖形自動(dòng)編碼器（GAE）中梯度信息的迭代梯度攻擊（IGA）。IGA針對(duì)現(xiàn)實(shí)網(wǎng)絡(luò)的復(fù)雜性和網(wǎng)絡(luò)攻擊的局限性，提出了無限攻擊和單節(jié)點(diǎn)攻擊兩種對(duì)抗攻擊策略，對(duì)GAE的損失函數(shù)計(jì)算得到損失函數(shù)關(guān)于連邊的梯度矩陣，根據(jù)梯度矩陣對(duì)應(yīng)位置元素的正負(fù)值與絕對(duì)值選擇需要修改的連邊來實(shí)現(xiàn)攻擊。

3.2.3 Opt-Attack

3.2.4 Approx-Local

Zhou等[31]系統(tǒng)地研究攻擊者操縱鏈路預(yù)測(cè)的能力，通過刪除有限數(shù)量觀察到的連邊子集，以最小化一組目標(biāo)鏈路的總加權(quán)相似度得分；重點(diǎn)研究了相似性度量的兩個(gè)重要子類：僅利用目標(biāo)鏈路的局部信息的局部度量和使用全局網(wǎng)絡(luò)信息的全局度量。

對(duì)于局部度量，他們提出了一種最小化局部度量上界的算法，對(duì)應(yīng)于在基數(shù)約束下最大化子模函數(shù)，確定了兩種特殊情況：① 攻擊單個(gè)連邊，確保對(duì)所有局部度量的最佳攻擊；② 攻擊一組節(jié)點(diǎn)而第二種情況確保對(duì)共同鄰居度（CND，common neighbor degree）指標(biāo)的最佳攻擊。對(duì)于全局度量，證明即使在攻擊單個(gè)連邊時(shí)，最小化Katz相似度和最大化ACT全局相似性度量都是NP困難的。針對(duì)這兩個(gè)問題，他們分別提出了有效的貪婪算法（Greedy-Katz）和啟發(fā)式算法（(Local-ACT）。

3.2.5 TGA

3.3 圖分類攻擊

圖分類常見于對(duì)生物結(jié)構(gòu)的分類任務(wù)，通過學(xué)習(xí)圖整體結(jié)構(gòu)的低維嵌入對(duì)圖整體進(jìn)行分類。針對(duì)圖分類的攻擊，旨在使圖分類器分類錯(cuò)誤，從而降低圖分類模型的準(zhǔn)確率和召回率。與節(jié)點(diǎn)分類攻擊相比，針對(duì)圖分類模型的攻擊研究相對(duì)較少。

3.3.1 RL-S2V

在3.1.2節(jié)中，Dai等[29]除了對(duì)節(jié)點(diǎn)分類任務(wù)進(jìn)行了攻擊。在圖分類任務(wù)中，RL-S2V利用圖分類模型得到馬爾可夫決策過程（MDP）中的獎(jiǎng)勵(lì)值，GeneticAlg和GradArgmax通過圖分類模型的損失函數(shù)計(jì)算適應(yīng)性分?jǐn)?shù)與梯度。

3.3.2 多層次圖池化神經(jīng)網(wǎng)絡(luò)的對(duì)抗性攻擊

Tang等[79]探討了多層次圖池化（HGP）神經(jīng)網(wǎng)絡(luò)的脆弱性，提出了對(duì)基于多層次GCN的圖分類模型的對(duì)抗攻擊。多層次GCN圖分類模型中的多層次池化算子傾向于保留對(duì)圖分類更重要的節(jié)點(diǎn)，作者利用一個(gè)卷積算子和池化算子構(gòu)建代理模型，并將其池化算子保留的節(jié)點(diǎn)設(shè)置為攻擊目標(biāo)，基于梯度方法添加/刪除連邊或修改節(jié)點(diǎn)特征以產(chǎn)生對(duì)抗樣本，從而欺騙多層GCN中的池化算子，使其保留錯(cuò)誤節(jié)點(diǎn)。在擾動(dòng)的隱蔽性層面，作者通過編輯距離[80]與二階DELTACON0圖距離[81]限制在圖結(jié)構(gòu)上的擾動(dòng)，并以L1范數(shù)對(duì)節(jié)點(diǎn)特征擾動(dòng)加以限制。

3.3.3 PA后門攻擊

Zhang等[82]針對(duì)基于GNN的圖分類提出了一種基于子圖的黑盒后門攻擊，生成隨機(jī)子圖作為后門觸發(fā)器，具體使用4個(gè)參數(shù)設(shè)定后門攻擊：①設(shè)置子圖節(jié)點(diǎn)數(shù)目作為觸發(fā)器大??；②子圖中連邊總數(shù)與節(jié)點(diǎn)對(duì)數(shù)的比值為觸發(fā)器密度；③采用優(yōu)先依附模型生成具有與真實(shí)圖相似冪律分布的后門觸發(fā)器；④以測(cè)試圖被毒化的分?jǐn)?shù)作為中毒強(qiáng)度。一旦攻擊者向測(cè)試圖注入一個(gè)預(yù)定義的后門觸發(fā)器，GNN分類器就會(huì)預(yù)測(cè)攻擊者為測(cè)試圖選擇的目標(biāo)類標(biāo)。

3.3.4 GTA

3.4 社區(qū)檢測(cè)攻擊

3.4.1 Q-Attack

3.4.2 EPA

3.4.3 EDA

Yu等[85]提出了一種新的無監(jiān)督網(wǎng)絡(luò)嵌入攻擊策略EDA，以嵌入向量間的歐幾里得距離為參考，采用遺傳算法（GA）尋找EDA的最優(yōu)解。EDA算法由3部分組成：網(wǎng)絡(luò)編碼、適應(yīng)度選擇、交叉和變異操作。①選擇翻轉(zhuǎn)后的連邊作為基因，基因的組合作為個(gè)體，表示對(duì)抗性擾動(dòng)的不同解，不同的個(gè)體組成一個(gè)種群；②通過攻擊獲取嵌入空間中向量歐幾里得距離的相對(duì)變化，并通過所提出的自適應(yīng)度函數(shù)計(jì)算個(gè)體的適應(yīng)度；③選擇適應(yīng)度較高的個(gè)體作為親本，通過交叉和變異操作產(chǎn)生新的個(gè)體，最終實(shí)現(xiàn)對(duì)圖數(shù)據(jù)的攻擊。

3.4.4 CD-Attack

圖9 不相等交叉示意

Figure 9 Illustration of non-equal crossover operation

3.4.5 DICE

4 面向圖神經(jīng)網(wǎng)絡(luò)的防御方法

上文以不同攻擊目標(biāo)任務(wù)為分類標(biāo)準(zhǔn)，詳細(xì)介紹了現(xiàn)有圖神經(jīng)網(wǎng)絡(luò)攻擊技術(shù)，本節(jié)以不同的防御策略作為分類標(biāo)準(zhǔn)，將現(xiàn)有的面向圖神經(jīng)網(wǎng)絡(luò)防御方法分為：對(duì)抗性訓(xùn)練、對(duì)抗性擾動(dòng)檢測(cè)、啟發(fā)式防御、圖純化防御和注意力機(jī)制。本節(jié)按照上述分類標(biāo)準(zhǔn)對(duì)現(xiàn)有圖神經(jīng)網(wǎng)絡(luò)防御方法進(jìn)一步展開，并詳細(xì)介紹部分面向圖神經(jīng)網(wǎng)絡(luò)的魯棒性分析方法。一些經(jīng)典的防御方法如表3所示。

4.1 對(duì)抗性訓(xùn)練

4.1.1 BVAT

4.1.2 GCN-GATV

Feng等[46]提出圖對(duì)抗訓(xùn)練（GAT）的方法以及GAT的擴(kuò)展GATV。GAT的每次迭代可以看作在進(jìn)行一個(gè)極小極大的博弈：①從干凈樣本中生成圖的對(duì)抗性擾動(dòng)，最大限度地破壞連接節(jié)點(diǎn)之間的平滑性；②增加一個(gè)正則化器，通過激勵(lì)對(duì)抗樣本和對(duì)應(yīng)干凈樣本預(yù)測(cè)結(jié)果之間的平滑性來最小化圖神經(jīng)網(wǎng)絡(luò)在圖對(duì)抗樣本上的目標(biāo)函數(shù)，提升模型對(duì)于通過圖傳播擾動(dòng)的魯棒性。

與GAT相比，GATV可以看作3個(gè)玩家共同玩兩個(gè)極大極小游戲，在訓(xùn)練目標(biāo)函數(shù)中額外加入一個(gè)虛擬對(duì)抗正則化器。當(dāng)圖對(duì)抗性擾動(dòng)是輸入特征變化的方向時(shí)，可以最大限度地攻擊圖對(duì)抗性正則化器，通過在當(dāng)前的模型參數(shù)下最大化圖對(duì)抗正則化器來生成虛擬對(duì)抗樣本，平滑每個(gè)干凈樣本周圍的預(yù)測(cè)分布，進(jìn)一步增強(qiáng)模型的魯棒性。

4.1.3 平滑防御

表3 防御方法分類

圖10 BVAT擾動(dòng)示意

Figure 10 Illustration of perturbations for BVAT

4.1.4 S/DVAT

Sun等[48]指出，GCN中的參數(shù)更新僅來自標(biāo)記節(jié)點(diǎn)，缺乏對(duì)未標(biāo)記數(shù)據(jù)的利用。作者將基于標(biāo)記和未標(biāo)記數(shù)據(jù)的虛擬對(duì)抗訓(xùn)練（VAT）應(yīng)用在GCN的損失函數(shù)上，對(duì)稀疏特征與稠密特征進(jìn)行了虛擬對(duì)抗擾動(dòng)，提出GCNSVAT與GCNDVAT算法來提高GCN的局部平滑性。

他們對(duì)GCN的局部頻譜卷積的一階逼近進(jìn)行了重點(diǎn)分析，并在GCN的基本損失函數(shù)上添加虛擬對(duì)抗損失，形成了GCNVAT算法。在此基礎(chǔ)上，根據(jù)節(jié)點(diǎn)特征的稀疏特性，GCNSVAT對(duì)每個(gè)節(jié)點(diǎn)的特定稀疏元素進(jìn)行虛擬對(duì)抗擾動(dòng)，而GCNDVAT將稀疏特征矩陣轉(zhuǎn)換為稠密特征矩陣來擾動(dòng)每一個(gè)特征元素。實(shí)驗(yàn)表明，經(jīng)過虛擬對(duì)抗訓(xùn)練的GCN模型的性能得到了進(jìn)一步的提升。

4.1.5 Graph Defense

4.2 對(duì)抗性擾動(dòng)檢測(cè)

此類方法通過研究對(duì)抗性樣本和干凈樣本之間的差異來對(duì)對(duì)抗性擾動(dòng)進(jìn)行檢測(cè)。

4.2.1 KL散度差異檢測(cè)

4.2.2 GraphSAC

Ioannidis等[90]提出的GraphSAC隨機(jī)繪制節(jié)點(diǎn)子集，依賴于圖感知標(biāo)準(zhǔn)，在使用半監(jiān)督學(xué)習(xí)（SSL）模塊估計(jì)每個(gè)節(jié)點(diǎn)的標(biāo)稱類標(biāo)分布之前過濾掉被異常節(jié)點(diǎn)污染的集合。由于每次繪制的復(fù)雜性與連邊的數(shù)量呈線性增長關(guān)系，GraphSAC通過限定所需的繪制數(shù)量，實(shí)現(xiàn)高效的SSL。

圖11展示了GraphSAC的運(yùn)作過程，第一行表示可用的圖和類標(biāo)。第二行表示采樣的類標(biāo)。第三行的SSL模塊包含輸出預(yù)測(cè)類標(biāo)。第四行的綠色虛線表示分類不正確的節(jié)點(diǎn)。第五行的過濾器判斷損失函數(shù)是否包含異常。第六行的紅色框表示含有大量錯(cuò)誤分類節(jié)點(diǎn)的預(yù)測(cè)被丟棄。最后通過結(jié)合來自干凈子集的預(yù)測(cè)結(jié)果來檢測(cè)異常。

4.3 啟發(fā)式防御

Zhou等[91]為了提高基于相似性的鏈路預(yù)測(cè)的魯棒性，提出一種新的方法來準(zhǔn)確地度量被查詢連邊的存在可能。他們定義分析者（防御者）與攻擊者兩個(gè)概念，將分析者和攻擊者之間的交互建模為一個(gè)非零和的貝葉斯Stackelberg博弈，分析者首先提交一組可靠的查詢，攻擊者在觀察分析者的決策后選擇要?jiǎng)h除的連邊集。文章提出了兩種防御方法。①獨(dú)立損傷優(yōu)化IDOpt：將防御者的問題表示為可利用標(biāo)準(zhǔn)技術(shù)線性化的非線性整數(shù)規(guī)劃，利用其解得到在獨(dú)立損傷近似下的防御者對(duì)稱度量最優(yōu)；②獨(dú)立損害排序IDRank：根據(jù)累積損害對(duì)每個(gè)連邊的重要性進(jìn)行排序，避免了優(yōu)化問題，顯著提高了可伸縮性。

4.4 圖純化防御

圖11 GraphSAC的運(yùn)作過程

Figure 11 OperationprocessofGraphSAC

4.5 注意力機(jī)制

4.5.1 PA-GNN

4.5.2 RGCN

Zhu等[52]提出一種魯棒的圖神經(jīng)網(wǎng)絡(luò)RGCN，不同于以往的GCN，RGCN采用高斯分布替代特征向量作為每個(gè)卷積層中節(jié)點(diǎn)的隱藏表示。當(dāng)圖受到攻擊時(shí)，RGCN可以自動(dòng)地吸收高斯分布的方差變化帶來的不利影響。為了彌補(bǔ)對(duì)抗性攻擊在GCN中的傳播，RGCN使用一種基于方差的注意機(jī)制，在執(zhí)行卷積時(shí)根據(jù)節(jié)點(diǎn)鄰域的方差分配不同的權(quán)值。在以前的GCN中，當(dāng)一個(gè)節(jié)點(diǎn)受到攻擊時(shí)，這種對(duì)抗效應(yīng)會(huì)通過卷積傳播到它的鄰居，從而影響圖數(shù)據(jù)的很大一部分。在RGCN中，由于被攻擊的節(jié)點(diǎn)對(duì)其他節(jié)點(diǎn)的影響往往方差較大，權(quán)值較小，這種傳播的影響會(huì)大大降低。

圖12 PA-GNN的整體框架

Figure 12 Overall framework of PA-GNN

4.6 面向圖神經(jīng)網(wǎng)絡(luò)的魯棒性分析

圖神經(jīng)網(wǎng)絡(luò)的魯棒性分析屬于圖神經(jīng)網(wǎng)絡(luò)防御研究的一個(gè)方向，差別在于圖神經(jīng)網(wǎng)絡(luò)的魯棒性分析對(duì)模型或數(shù)據(jù)安全給出了更多的理論性分析與評(píng)估。本節(jié)對(duì)幾種有效的圖神經(jīng)網(wǎng)絡(luò)魯棒性分析方法進(jìn)行介紹。

4.6.1 VPN

Jin等[53]強(qiáng)調(diào)了現(xiàn)有GCN的基本構(gòu)建塊Laplacian算子的缺陷：①空間域中信息融合范圍有限；②離群特征值會(huì)模糊稀疏狀態(tài)下的Laplacian或鄰接矩陣的頻譜，削弱有用的頻譜信號(hào)。為了提高圖頻譜特征應(yīng)對(duì)噪聲的魯棒性，他們提出了可變冪算子，它可以被看作提取隱藏在局部不規(guī)則狀態(tài)下頻譜的核函數(shù)，將GCN中的圖卷子算子替換為可變冪算子，得到可變冪網(wǎng)絡(luò)（VPN），同時(shí)學(xué)習(xí)不同距離處的特征變換函數(shù)和全局影響參數(shù)，提升圖神經(jīng)網(wǎng)絡(luò)的魯棒性。

圖13 距離為k的可變冪算子

Figure 13 A variable power of distance

4.6.2 CRIAGE

Pezeshkpour等[92]指出，大部分現(xiàn)有的嵌入方法主要側(cè)重于提高準(zhǔn)確性，而忽略了魯棒性分析和可解釋性等方面。他們針對(duì)知識(shí)圖，提出鏈路預(yù)測(cè)模型的對(duì)抗性修正方法CRIAGE，在模型重訓(xùn)練后，確定要添加到知識(shí)圖中或從中刪除的事實(shí)，從而更改目標(biāo)事實(shí)的預(yù)測(cè)。使用泰勒展開近似嵌入的變化來評(píng)估單個(gè)修改對(duì)圖的影響，確定最具影響力的預(yù)測(cè)事實(shí)，并評(píng)估模型對(duì)添加虛假事實(shí)的敏感性。為了避免對(duì)所有可能的事實(shí)進(jìn)行組合搜索，訓(xùn)練了一個(gè)網(wǎng)絡(luò)來解碼它們對(duì)應(yīng)的圖組件嵌入，使用基于梯度的優(yōu)化來識(shí)別對(duì)抗性修改。

4.6.3 AGCN

Ioannidis等[54]提出自適應(yīng)圖卷積網(wǎng)絡(luò)（AGCN），給定被擾動(dòng)的無權(quán)圖，通過概率選取抖動(dòng)（增加或刪除）連邊來繪制多個(gè)輔助圖，增強(qiáng)GCN的魯棒性。

圖14 CRIAGE的示意

Figure 14 Illustration of CRIAGE

圖15 AGCN的框架

Figure 15 The framework of AGCN

4.6.4 具有徑向基核函數(shù)的SVM

4.6.5 可訓(xùn)練鄰接矩陣

Wu等[56]指出，如GCN這類圖模型的弱點(diǎn)在于這些模型本質(zhì)上是根據(jù)圖結(jié)構(gòu)來聚集特征，在對(duì)目標(biāo)節(jié)點(diǎn)進(jìn)行預(yù)測(cè)時(shí)，此類模型嚴(yán)重依賴最近的鄰居信息。他們提出使鄰接矩陣可訓(xùn)練的防御方法，在訓(xùn)練過程中不斷學(xué)習(xí)連邊的權(quán)值，以改變攻擊者制作的對(duì)抗樣本，從而使其在普通GCN上制造的攻擊無效；根據(jù)Jaccard相似度評(píng)分度量特征的相似性，并以此觀察修改連邊/節(jié)點(diǎn)特征、增/刪連邊等攻擊的特征，對(duì)上述防御方法的有效性進(jìn)行了大量的理論分析。他們還提出，對(duì)圖的鄰接矩陣進(jìn)行簡單的預(yù)處理就可以識(shí)別攻擊后的連邊，通過移除連接低相似度節(jié)點(diǎn)的連邊，能夠在不降低GCN模型準(zhǔn)確性的情況下防御有針對(duì)性地對(duì)抗攻擊。

4.6.6 Pro-GNN

Jin等[93]指出，真實(shí)世界的圖形共享一些內(nèi)在屬性。例如，許多現(xiàn)實(shí)世界的圖是低秩和稀疏的，兩個(gè)相鄰節(jié)點(diǎn)的特征往往是相似的。實(shí)際上，許多對(duì)抗攻擊很可能會(huì)違反這些圖的性質(zhì)。作者應(yīng)用最先進(jìn)的圖中毒攻擊metattack來擾動(dòng)圖數(shù)據(jù)并可視化metattack前后的圖屬性。

如圖16所示，在圖16(a)中，metattack放大了鄰接矩陣的奇異值，圖16(b)說明metattack快速增加了鄰接矩陣的秩。此外，當(dāng)分別從擾動(dòng)圖中移除對(duì)抗邊和正常邊時(shí)，可以觀察到移除對(duì)抗邊比移除正常邊降低秩的速度更快，如圖16(c)所示。圖16(d)中描繪了受攻擊圖的連通節(jié)點(diǎn)特征差異的密度分布，發(fā)現(xiàn)metattack傾向于連接特征差異較大的節(jié)點(diǎn)。

作者進(jìn)一步提出了一個(gè)通用框架Pro-GNN，該框架可以從受這些特性指導(dǎo)的擾動(dòng)圖聯(lián)合學(xué)習(xí)結(jié)構(gòu)圖和魯棒圖神經(jīng)網(wǎng)絡(luò)模型。Pro-GNN通過保持圖的低秩性、稀疏性和特征光滑性，以中毒圖為基礎(chǔ)，迭代地重構(gòu)干凈圖，并通過交替模式求解優(yōu)化問題，同時(shí)更新重構(gòu)圖上的GNN參數(shù)，減少對(duì)抗性結(jié)構(gòu)的負(fù)面影響。

4.6.7 魯棒性分析研究總結(jié)

魯棒性分析研究同樣提高了圖神經(jīng)網(wǎng)絡(luò)模型的魯棒性，這些工作更加注重模型魯棒性的理論分析。例如，通過發(fā)現(xiàn)已有GCN模型的理論缺陷[53,56]、挖掘圖對(duì)模型的作用影響[54-,55,92]和探索真實(shí)圖數(shù)據(jù)的性質(zhì)特征[89]來更深層次地研究圖神經(jīng)網(wǎng)絡(luò)的魯棒性。然而，現(xiàn)有的圖神經(jīng)網(wǎng)絡(luò)魯棒性分析研究還相對(duì)缺乏，如何更進(jìn)一步通過理論分析來解釋對(duì)抗攻擊對(duì)圖神經(jīng)網(wǎng)絡(luò)的影響，并從根本上增強(qiáng)圖神經(jīng)網(wǎng)絡(luò)的魯棒性，這是未來值得探索的一個(gè)方向。

圖16 對(duì)抗性攻擊導(dǎo)致鄰接矩陣屬性變化的一個(gè)示例

Figure 16 An illustrative example on the property changes of the adjacency matrix by adversarial attacks

5 數(shù)據(jù)集及評(píng)價(jià)指標(biāo)

已有的面向圖挖掘算法的對(duì)抗攻防方法研究，采用相對(duì)固定的數(shù)據(jù)集與評(píng)價(jià)指標(biāo)，方便不同方法之間的性能比較，因此本節(jié)總結(jié)了常用的數(shù)據(jù)集和評(píng)價(jià)指標(biāo)。

5.1 數(shù)據(jù)集

圖神經(jīng)網(wǎng)絡(luò)研究中常見的數(shù)據(jù)集有引文網(wǎng)絡(luò)數(shù)據(jù)集、社交網(wǎng)絡(luò)數(shù)據(jù)集、生物?化學(xué)數(shù)據(jù)集等類別的數(shù)據(jù)集。這些數(shù)據(jù)集詳細(xì)內(nèi)容及結(jié)構(gòu)如表4所示，其中，對(duì)于生物?化學(xué)數(shù)據(jù)集，本文展示了每個(gè)數(shù)據(jù)集中的平均節(jié)點(diǎn)數(shù)和連邊數(shù)。前4個(gè)引文數(shù)據(jù)集與PolBlogs是最常用的節(jié)點(diǎn)分類任務(wù)數(shù)據(jù)集，Reddit、Facebook與Google+ 數(shù)據(jù)集也被用于節(jié)點(diǎn)分類攻擊的工作[69,89]。此外，Cora和Citesser數(shù)據(jù)集也被文獻(xiàn)[94]應(yīng)用到鏈路預(yù)測(cè)攻擊問題中。由于存在多種大小的Facebook數(shù)據(jù)集，表4中省略了它的統(tǒng)計(jì)數(shù)據(jù)[95-103]。Email、Dolphin、Karate和Football數(shù)據(jù)集常出現(xiàn)在社區(qū)檢測(cè)任務(wù)[26,37]中。生物?化學(xué)數(shù)據(jù)集通常包含多個(gè)圖，因此被廣泛應(yīng)用于圖分類任務(wù)。

5.2 評(píng)價(jià)指標(biāo)

圖分析、對(duì)抗攻擊或防御方法的效果需要通過不同的評(píng)價(jià)指標(biāo)來衡量。本節(jié)首先介紹了圖分析任務(wù)中的常用指標(biāo)，隨后從對(duì)抗攻擊效果、攻擊隱蔽性和防御性能3個(gè)角度介紹了攻防工作中提出的一些新的度量標(biāo)準(zhǔn)。

5.2.1 圖分析任務(wù)中的常用指標(biāo)

圖神經(jīng)網(wǎng)絡(luò)的下游任務(wù)大多以分類問題為主，如節(jié)點(diǎn)分類、圖分類。若把連邊的存在情況視為連邊類標(biāo)，鏈路預(yù)測(cè)任務(wù)也可以歸為分類問題。分類問題通常是一個(gè)二類或多類分類問題。現(xiàn)有的基于準(zhǔn)確度的度量方法如準(zhǔn)確率、F1評(píng)分、AUC等是從不同的角度反映分類精度的。本節(jié)介紹常用的幾種不同的準(zhǔn)確度指標(biāo)。

表4 數(shù)據(jù)集內(nèi)容

注：NC（node classification）；LP（link prediction）；CD（community detection）；GC（graph classification）

準(zhǔn)確度（Accuracy）：該領(lǐng)域研究中較為常見的技術(shù)指標(biāo)，它表示正確的預(yù)測(cè)占所有實(shí)例的百分比。

1-score：分類問題的一個(gè)衡量指標(biāo)，為精密度precision和召回率recall的調(diào)和平均數(shù)。

5.2.2 對(duì)抗攻擊評(píng)價(jià)指標(biāo)

誤分類率為對(duì)抗攻擊評(píng)價(jià)的最直接體現(xiàn)，反映了攻擊對(duì)目標(biāo)模型性能的下降程度。為了從不同角度衡量圖神經(jīng)網(wǎng)絡(luò)的攻擊性能，已有的工作在圖數(shù)據(jù)的攻擊中提出或使用了以下評(píng)價(jià)指標(biāo)。

平均修改連邊數(shù)（AML，average modified links）[24]：描述攻擊模型成功時(shí)，網(wǎng)絡(luò)的平均修改的連邊數(shù)，即攻擊成功所需要付出的代價(jià)。

分類裕度（CM，classification margin）[28]：體現(xiàn)了模型錯(cuò)誤分類目標(biāo)節(jié)點(diǎn)并且到正確類別邊界具有的最大距離。

平均最壞情況裕度（AWM，averaged worst- case margin）：最壞情況裕度（WM，worst case margin）是分類裕度的最小值[104]，WM的平均值是在訓(xùn)練過程中對(duì)一小批節(jié)點(diǎn)進(jìn)行動(dòng)態(tài)計(jì)算得到的。

魯棒性能（RM，robustness merit）[71]：計(jì)算GNN攻擊前/后的精度差值，對(duì)模型的魯棒性進(jìn)行評(píng)價(jià)。

攻擊惡化（AD，attack deterioration）[53]：評(píng)估對(duì)預(yù)測(cè)模型的攻擊效果，由于GNN的空間范圍限制，任何添加/刪除的邊只能影響原始網(wǎng)絡(luò)中空間范圍內(nèi)的節(jié)點(diǎn)。

5.2.3 隱蔽性評(píng)價(jià)指標(biāo)

圖結(jié)構(gòu)具有離散性，因此無法使用圖像領(lǐng)域中的評(píng)價(jià)指標(biāo)來衡量無窮小的細(xì)微變化。為了確保在圖數(shù)據(jù)上的攻擊是不容易覺察的，已有工作提出了幾種擾動(dòng)隱蔽性評(píng)價(jià)指標(biāo)來衡量對(duì)抗擾動(dòng)的大小。

5.2.4 防御方法評(píng)價(jià)指標(biāo)

為了檢驗(yàn)圖神經(jīng)網(wǎng)絡(luò)防御方法的效果，研究人員提出了以下幾種防御性能評(píng)價(jià)指標(biāo)。

平均防御率（ADR，average defense rate）[47]：表示為有/無防御情況下ASR的差值與無防御下ASR的比值。ADR值越大，防御效果越好。

平均置信度差（ACD，average confidence different）[47]：表示節(jié)點(diǎn)在攻擊前/后的平均置信度差。

損害預(yù)防率（DPR，damage prevention rate）[91]：用于評(píng)估防御方法可以容忍的攻擊數(shù)量。

6 未來的研究方向

上文全面回顧了近年來關(guān)于圖神經(jīng)網(wǎng)絡(luò)對(duì)抗攻擊與防御的方法，詳細(xì)描述了現(xiàn)有的攻防技術(shù)細(xì)節(jié)。本節(jié)就圖神經(jīng)網(wǎng)絡(luò)未來的研究方向做出更多一般性的討論。

6.1 攻擊方法

攻擊隱蔽性：本文總結(jié)的針對(duì)圖神經(jīng)網(wǎng)絡(luò)的對(duì)抗攻擊方法主要利用圖數(shù)據(jù)和模型的信息來修改圖的結(jié)構(gòu)或節(jié)點(diǎn)屬性，通過添加擾動(dòng)使圖神經(jīng)網(wǎng)絡(luò)模型失效。由于在修改圖結(jié)構(gòu)時(shí)可能會(huì)將兩個(gè)完全無關(guān)節(jié)點(diǎn)相連或產(chǎn)生孤立節(jié)點(diǎn)，且在網(wǎng)絡(luò)結(jié)構(gòu)稀疏的情況下修改連邊容易被察覺，此類攻擊方法存在隱蔽性不強(qiáng)的問題。如何以更隱蔽的方式和更小的代價(jià)對(duì)圖神經(jīng)模型進(jìn)行有效攻擊是未來可以研究的方向之一。

攻擊效率：現(xiàn)有的圖神經(jīng)網(wǎng)絡(luò)攻擊方法常用的數(shù)據(jù)集為Cora與Citeseer，兩者都是小規(guī)模圖，當(dāng)面對(duì)大規(guī)模圖時(shí)，現(xiàn)有的方法往往很難高效率地實(shí)現(xiàn)攻擊。在大規(guī)模圖中，如何篩選出與攻擊目標(biāo)高度相關(guān)的圖信息，僅利用少量信息實(shí)現(xiàn)對(duì)整個(gè)圖的有效攻擊，同樣是未來值得思考的。

攻擊可行性：從表2可以看出，大部分現(xiàn)有的攻擊算法是基于攻擊者對(duì)目標(biāo)模型與數(shù)據(jù)有完備知識(shí)條件下建立的，屬于白盒或灰盒攻擊，而真正的黑盒攻擊相對(duì)較為缺乏。除此之外，在很多場(chǎng)景下，如社交網(wǎng)絡(luò)的攻擊，修改已有連邊與節(jié)點(diǎn)屬性是難以實(shí)現(xiàn)的。這些問題可以歸結(jié)為攻擊在實(shí)際場(chǎng)景下的可行性。在未來的研究中，可以將重心放在如何利用圖的某個(gè)部分訓(xùn)練一個(gè)替代模型，學(xué)習(xí)對(duì)圖數(shù)據(jù)攻擊的一般模式，以避開攻擊的知識(shí)背景限制，并實(shí)現(xiàn)更符合真實(shí)應(yīng)用場(chǎng)景的攻擊策略上。

6.2 防御方法

防御任務(wù)多樣化：針對(duì)圖神經(jīng)網(wǎng)絡(luò)的防御方法通過對(duì)抗性訓(xùn)練、對(duì)抗性擾動(dòng)檢測(cè)、啟發(fā)式防御、圖純化防御或引入注意力機(jī)制等多種手段進(jìn)行，從表3可以看出，大多數(shù)方法針對(duì)節(jié)點(diǎn)分類任務(wù)進(jìn)行防御。研究對(duì)其他圖神經(jīng)網(wǎng)絡(luò)下游任務(wù)的防御，或研究現(xiàn)有防御方法在其他任務(wù)中的可遷移性是研究人員未來值得考慮的方向。

防御可行性：防御成本可以作為圖神經(jīng)網(wǎng)絡(luò)防御方法可行性分析的一個(gè)指標(biāo)，現(xiàn)有的防御方法大多關(guān)注提高模型的防御能力，而忽略了對(duì)防御成本的研究。在現(xiàn)實(shí)場(chǎng)景應(yīng)用中，大規(guī)模的圖數(shù)據(jù)將為高成本的防御方法帶來嚴(yán)峻的挑戰(zhàn)。通過更多的魯棒性理論分析，研究在低防御成本下實(shí)現(xiàn)高效的防御，提高防御方法的可行性，這也是一個(gè)有價(jià)值的研究方向。

7 結(jié)束語

圖神經(jīng)網(wǎng)絡(luò)是處理圖數(shù)據(jù)的主要方法之一。隨著圖神經(jīng)網(wǎng)絡(luò)在具有不規(guī)則空間結(jié)構(gòu)的圖數(shù)據(jù)（如社交網(wǎng)絡(luò)、知識(shí)圖譜等）處理中得到廣泛應(yīng)用，圖神經(jīng)網(wǎng)絡(luò)的安全問題逐漸成為研究熱點(diǎn)。本文總結(jié)了面向圖神經(jīng)網(wǎng)絡(luò)的對(duì)抗攻擊、防御方法和相應(yīng)的評(píng)價(jià)指標(biāo)，綜述了圖神經(jīng)模型的魯棒性分析方法。分別總結(jié)了當(dāng)前圖神經(jīng)網(wǎng)絡(luò)攻防方法的局限性，并對(duì)未來的研究方向進(jìn)行討論。最后，通過引用的參考文獻(xiàn)為本課題的研究指明更廣闊的前景。

[1]DENG L, LIU Y. A joint introduction to natural language processing and to deep learning[C]//Deep Learning in Natural Language Processing. Springer, Singapore, 2018: 1-22.

[2]COLLOBERT R, WESTON J, BOTTOU L, et al. Natural language processing (almost) from scratch[J]. Journal of Machine Learning Research, 2011, 12(8): 2493-2537.

[3]XIONG W, DROPPO J, HUANG X, et al. Achieving human parity in conversational speech recognition[J]. arXiv Preprint Arxiv: 1610.05256, 2016.

[4]LITJENS G, KOOI T, BEJNORDI B E, et al. A survey on deep learning in medical image analysis[J]. Medical Image Analysis, 2017, 42: 60-88.

[5]MOUSAVI A, BARANIUK R G. Learning to invert: signal recovery via deep convolutional networks[C]//2017 IEEE International Conference on Acoustics, Speech and Signal Processing (ICASSP). 2017: 2272-2276.

[6]KRISHNAMURTHY B, SARKAR M. Deep-learning network architecture for object detection: U.S. Patent 10,152,655[P]. 2018-12-11.

[7]GOYAL P, FERRARA E. Graph embedding techniques, applications, and performance: a survey[J]. Knowledge-Based Systems, 2018, 151: 78-94.

[8]FRASCONI P, GORI M, SPERDUTI A. A general framework for adaptive processing of data structures[J]. IEEE Transactions on Neural Networks, 1998, 9(5): 768-786.

[9]SPERDUTI A, STARITA A. Supervised neural networks for the classification of structures[J]. IEEE Transactions on Neural Networks, 1997, 8(3): 714-735.

[10]GORI M, MONFARDINI G, SCARSELLI F. A new model for learning in graph domains[C]//2005 IEEE International Joint Conference on Neural Networks. 2005: 729-734.

[11]SCARSELLI F, GORI M, TSOI A C, et al. The graph neural network model[J]. IEEE Transactions on Neural Networks, 2008, 20(1): 61-80.

[12]BRUNA J, ZAREMBA W, SZLAM A, et al. Spectral networks and locally connected networks on graphs[C]//2nd International Conference on Learning Representations. 2014.

[13]DEFFERRARD M, BRESSON X,VANDERGHEYNST P. Convolutional neural networks on graphs with fast localized spectral filtering[C]//Advances in Neural Information Processing Systems 29. 2016: 3837-3845.

[14]VELI?KOVI? P, CUCURULL G, CASANOVA A, et al. Graph attention networks[J]. arXiv preprint arXiv:1710.10903, 2017.

[15]CAO S, LU W, XU Q. Deep neural networks for learning graph representations[C]// Proceedings of the 30th AAAI Conference on Artificial Intelligence. 2016: 1145-1152.

[16]KIPF T N, WELLING M. Variational graph auto-encoders[J]. arXiv preprint arXiv:1611.07308, 2016.

[17]TANG J, QU M, MEI Q. Pte: Predictive text embedding through large-scale heterogeneous text networks[C]//Proceedings of the 21th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining. 2015: 1165-1174.

[18]WANG S, TANG J, AGGARWAL C, et al. Linked document embedding for classification[C]// Proceedings of the 25th ACM International on Conference on Information and Knowledge Management. 2016: 115-124.

[19]PEROZZI B, AL-RFOU R, SKIENA S. Deepwalk: Online learning of social representations[C]//Proceedings of the 20th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining. 2014: 701-710.

[20]WANG S, TANG J, AGGARWAL C, et al. Signed network embedding in social media[C]//Proceedings of the 2017 SIAM International Conference on Data Mining. 2017: 327-335.

[21]TIAN F, GAO B, CUI Q, et al. Learning deep representations for graph clustering[C]//Proceedings of the Twenty-Eighth AAAI Conference on Artificial Intelligence. 2014: 1293-1299.

[22]ALLAB K, LABIOD L, NADIF M. A semi-NMF-PCA unified framework for data clustering[J]. IEEE Transactions on Knowledge and Data Engineering, 2016, 29(1): 2-16.

[23]LEE J B, ROSSI R, KONG X. Graph classification using structural attention[C]//Proceedings of the 24th ACM SIGKDD International Conference on Knowledge Discovery. 2018: 1666-1674.

[24]PEI Y, CHAKRABORTY N, SYCARA K. Nonnegative matrix tri-factorization with graph regularization for community detection in social networks[C]//Proceedings of the Twenty-Fourth International Joint Conference on Artificial Intelligence. 2015: 2083-2089.

[25]CHEN L, LIU Y, ZHENG Z, et al.Heterogeneous neural attentive factorization machine for rating prediction[C]//Proceedings of the 27th ACM International Conference on Information and Knowledge Management. 2018: 833-842.

[26]XIE F, CHEN L, YE Y, ET AL.Factorization machine based service recommendation on heterogeneous information networks[C]//2018 IEEE International Conference on Web Services, ser. ICWS ’18. 2018: 115-122.

[27]WANG J, HUANG P, ZHAO H, et al. Billion-scale commodity embedding for e-commerce recommendation in Alibaba[C]//Proceedings of the 24th ACM SIGKDD International Conference on Knowledge Discovery & Data Mining, ser. KDD ’18. 2018: 839-848.

[28]ZüGNER D, AKBARNEJAD A, AND GüNNEMANN S. Adversarial attacks on neural networks for graph data[C]//Proceedings of the 24th ACM SIGKDD International Conference on Knowledge Discovery & Data Mining, ser. KDD ’18. 2018: 2847C2856.

[29]DAI H, LI H, TIAN T, et al. Adversarial attack on graph structured data[C]//Proceedings of the 35th International Conference on Machine Learning, ser. ICML ’18. 2018: 1123-1132.

[30]WANG X, EATON J, HSIEH C J, et al. Attack graph convolutional networks by adding fake nodes[J]. arXiv preprint arXiv:1810.10751, 2018.

[31]ZHOU K, MICHALAK T P, WANIEK M, et al. Attacking similarity-based link prediction in social networks[C]//Proceedings of the 18th International Conference on Autonomous Agents and MultiAgent Systems, ser. AAMAS ’19. 2019: 305-313.

[32]BOJCHEVSKI A AND GüNNEMANN S. Adversarial attacks on node embeddings via graph poisoning[C]//Proceedings of the 36th International Conference on Machine Learning, ICML 2019. 2019: 695-704.

[33]SUN Y, WANG S, TANG X, et al. Node injection attacks on graphs via reinforcement learning[J]. arXiv preprint arXiv:1909.06543, 2019.

[34]CHEN J, WU Y, XU X, et al. Fast gradient attack on network embedding[J]. arXiv preprint arXiv:1809.02797, 2018.

[35]CHEN J, LIN X, SHI Z, et al. Link prediction adversarial attack via iterative gradient attack[J]. IEEE Transactions on Computational Social Systems, 2020, 7(4): 1081-1094.

[36]CHEN J, CHEN L, CHEN Y, et al. Ga-based Q-attack on community detection[J]. IEEE Transactions on Computational Social Systems, 2019, 6(3): 491-503.

[37]CHEN J, CHEN Y, CHEN L, et al. Multiscale evolutionary perturbation attack on community detection[J]. IEEE Transactions on Computational Social Systems, 2021, 8(1): 62-75.

[38]CHANG H, RONG Y, XU T, et al. A restricted black-box adversarial framework towards attacking graph embedding models[C]//Proceedings of the AAAI Conference on Artificial Intelligence. 2020: 3389-3396.

[39]MA Y, WANG S, WU L, et al. Attacking graph convolutional networks via rewiring[J]. arXiv preprint arXiv:1906.03750, 2019.

[40]ZüGNER D AND GüNNEMANN S. Adversarial attacks on graph neural networks via meta learning[C]//7th International Conference on Learning Representations, ser. ICLR ’19. 2019.

[41]SUN M, TANG J, LI H, et al. Data poisoning attack against unsupervised node embedding methods[J]. arXiv preprint arXiv:1810.12881, 2018.

[42]WANIEK M, ZHOU K, VOROBEYCHIK Y, et al. Attack tolerance of link prediction algorithms: How to hide your relations in a social network[J]. arXiv preprint arXiv:1809.00152, 2018.

[43]FARD A M, WANG K, AND YU P. Limiting link disclosure in social network analysis through subgraph-wise perturbation[C]// 15th International Conference on Extending Database Technology, ser. EDBT ’12. 2012: 109-119.

[44]FARD A AND WANG K. Neighborhood randomization for link privacy in social network analysis[J]. World Wide Web, 2015, 18(1): 9-32.

[45]LI J, ZHANG H, HAN Z, et al. Adversarial attack on community detection by hiding individuals[C]//WWW ’20: The Web Conference 2020. 2020: 917-927.

[46]FENG F, HE X, TANG J, et al. Graph adversarial training: Dynamically regularizing based on graph structure[J]. IEEE Transactions on Knowledge and Data Engineering. 2019.

[47]CHEN J, LIN X, XIONG H, et al. Smoothing adversarial training for gnn[J]. IEEE Transactions on Computational Social Systems, 2020.

[48]SUN K, LIN Z, GUO H, Et al. Virtual adversarial training on graph convolutional networks in node classification[C]//Pattern Recognition and Computer Vision - Second Chinese Conference, PRCV 2019. 2019: 431-443.

[49]ZHANG Y, KHAN S, AND COATES M. Comparing and detecting adversarial attacks for graph deep learning[C]//Proc Representation Learning on Graphs and Manifolds Workshop, Int Conf Learning Representations. 2019.

[50]ENTEZARI N, AL-SAYOURI S A, DARVISHZADEH A, et al. All you need is low (rank): Defending against adversarial attacks on graphs[C]//WSDM ’20: The Thirteenth ACM International Conference on Web Search and Data Mining. 2020: 169-177.

[51]TANG X, LI Y, SUN Y, et al. Transferring robustness for graph neural network against poisoning attacks[C]//WSDM ’20: The Thirteenth ACM International Conference on Web Search and Data Mining. 2020: 600-608.

[52]ZHU D, ZHANG Z, CUI P, et al. Robust graph convolutional networks against adversarial attacks[C]//Proceedings of the 25th ACM SIGKDD International Conference on Knowledge Discovery & Data Mining. 2019: 1399-1407.

[53]JIN M, CHANG H, ZHU W, ET AL. Power up! robust graph convolutional network against evasion attacks based on graph powering[J]. arXiv preprint arXiv:1905.10029, 2019.

[54]IOANNIDIS V N AND GIANNAKIS G B. Edge dithering for robust adaptive graph convolutional networks[J]. arXiv preprint arXiv:1910.09590, 2019.

[55]MILLER B A, ?AMURCU M, GOMEZ A J, et al. Improving robustness to attacks against vertex classification[C]//15th International Workshop on Mining and Learning with Graphs. 2019.

[56]WU H, WANG C, TYSHETSKIY Y, et al. Adversarial examples for graph data: Deep insights into attack and defense[C]//Proceedings of the Twenty-Eighth International Joint Conference on Artificial Intelligence. 2019: 4816-4823.

[57]JIN W, LI Y, XU H, et al. Adversarial attacks and defenses on graphs: a review and empirical study[J]. arXiv preprint arXiv:2003.00653, 2020.

[58]SUN L, DOU Y, YANG C, et al. Adversarial attack and defense on graph data: A survey[J]. arXiv preprint arXiv:1812.10528, 2018.

[59]CHEN L, LI J, PENG J, et al. A survey of adversarial learning on graph[J]. arXiv preprint arXiv: 2003.05730, 2020.

[60]DOMENICO M, LIMA A, MOUGEL P, et al. The anatomy of a scientific rumor[J]. Scientific Reports, 2013, 3(10): 65.

[61]LESKOVEC J, KLEINBERG J, FALOUTSOS C. Graph evolution: Densification and shrinking diameters[J]. ACM Transactions on Knowledge Discovery from Data (TKDD). 2006,1.

[62]LI Y, YU R, SHAHAB CI, et al. Diffusion convolutional recurrent neural network: Data-driven traffic forecasting[C]//6th International Conference on Learning Representations. 2018.

[63]GONG Y, ZHU Y, DUAN L, et al.Exact-k recommendation via maximal clique optimization[C]//Proceedings of the 25th ACM SIGKDD International Conference on Knowledge Discovery & Data Mining, KDD 2019. 2019: 617-626.

[64]TANG J, ZHANG J, YAO L, et al.Arnetminer: extraction and mining of academic social networks[C]//Proceedings of the 14th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining. 2008: 990-998.

[65]ADAMIC L A AND GLANCE N. The political blogosphere and the 2004 us election: divided they blog[C]//Proceedings of the 3rd International Workshop on Link Discovery. 2005: 36-43.

[66]DEBNATH A K, COMPADRE R L, DEBNATH G, et al. Structure-activity relationship of mutagenic aromatic and heteroaromatic nitro compounds. correlation with molecular orbital energies and hydrophobicity[J]. Journal of Medicinal Chemistry, 1991, 34(2): 786-797.

[67]GOODFELLOW I, POUGET-ABADIE J, MIRZA M, et al. Generative adversarial nets[C]//Advances in Neural Information Processing Systems 27: Annual Conference on Neural Information Processing Systems 2014. 2014: 2672-2680.

[68]KIPF T N, WELLING M. Semi-supervised classification with graph convolutional networks[C]//International Conference on Learning Representations, ser. ICLR ’17. 2017.

[69]WANG B AND GONG N. Attacking graphbased classification via manipulating the graph structure[C]//Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security. 2019: 2023-2040.

[70]AVISHEK J, CIANFLFLONE A, HAMILTION W. Generalizable adversarial attacks using generative models[J].arXiv preprint arXiv:1905.10864, 2019.

[71]WU H, WANG C, TYSHETSKIY Y,et al. Adversarial examples for graph data: deep insights into attack and defense[C]//Proceedings of the Twenty-Eighth International Joint Conference on Artificial Intelligence, IJCAI 2019. 2019: 4816-4823.

[72]XU K, CHEN H, LIU S, et al. Topology attack and defense for graph neural networks: An optimization perspective[C]//Proceedings of the Twenty-Eighth International Joint Conference on Artificial Intelligence, IJCAI 2019. 2019: 3961-3967.

[73]ZANG X, XIE Y, CHEN J,et al. Graph universal adversarial attacks: A few bad actors ruin graph learning models[J]. arXiv preprint arXiv:2002.04784, 2020.

[74]TAKAHASHI T. Indirect adversarial attacks via poisoning neighbors for graph convolutional networks[C]//2019 IEEE International Conference on Big Data (Big Data). 2019: 1395-1400.

[75]CHEN J, CHEN Y, ZHENG H, et al.Mga: Momentum gradient attack on network[J]. arXiv preprint arXiv:2002.11320, 2020.

[76]WANIEK M, ZHOU K, VOROBEYCHIK Y, et al. Attack tolerance of link prediction algorithms: How to hide your relations in a social network[J].arXiv preprint arXiv:1809.00152, 2018.

[77]QIU J, DONG Y, MA H, et al. Network embedding as matrix factorization[C]//Proceedings of the Eleventh ACM International Conference on Web Search and Data Mining, WSDM 2018. 2018: 459-467.

[78]CHEN J, ZHANG J, CHEN Z, et al. Time-aware gradient attack on dynamic network link prediction[J]. arXiv preprint arXiv: 1911.10561, 2019.

[79]TANG H, MA G, CHEN Y, et al. Adversarial attack on hierarchical graph pooling neural networks[J]. arXiv preprint arXiv:2005.11560, 2020.

[80]BáLEK M, GOODALL A. Large networks and graph limits[J]. Comput Sci Rev, 2013, 10: 35-46.

[81]FALOUTSOS C, KOUTRA D, VOGELSTEIN J.Deltacon: A principled massive-graph similarity function[C]//Proceedings of the 13th SIAM International Conference on Data Mining. 2013: 162-170.

[82]ZHANG Z, JIA J, WANG B,et al. Backdoor attacks to graph neural networks[J]. arXiv preprint arXiv:2006.11165, 2020.

[83]XI Z, PANG R, JI S, et al. Graph backdoor[C]//USENIX Security. 2021.

[84]CORDELLA L, FOGGIA P, SANSONE C, et al. A (sub)graph isomorphism algorithm for matching large graphs[J]. IEEE Transactions on Pattern Analysis and Machine Intelligence, 2004, 26(10): 1367-1372.

[85]YU S, ZHENG J, CHEN J, et al. Unsupervised euclidean distance attack on network embedding[C]//5th IEEE International Conference on Data Science in Cyberspace. 2020: 71-77.

[86]LI J, ZHANG H, HAN Z, et al. Adversarial attack on community detection by hiding individuals[C]//WWW ’20: The Web Conference 2020. 2020: 917-927.

[87]WANIEK M, MICHALAK T, WOOLDRIDGE M, et al. Hiding individuals and communities in a social network[J]. Nature Human Behaviour, 2018, 2(2): 139-147.

[88]DENG Z, DONG Y, ZHU J. Batch virtual adversarial training for graph convolutional networks[J]. arXiv preprint arXiv:1902.09192, 2019.

[89]WANG X, LIU X, HSIEH C. Graphdefense: Towards robust graph convolutional networks[J]. arXiv preprint arXiv:1911.04429, 2019.

[90]IOANNIDIS V, BERBERIDIS D, AND GIANNAKIS B. Graphsac: Detecting anomalies in large-scale graphs[J]. arXiv preprint arXiv: 1910.09589, 2019.

[91]ZHOU K, MICHALAK T, VOROBEYCHIK Y, et al. Adversarial robustness of similarity-based link prediction[J]. arXiv preprint arXiv:1909.01432, 2019.

[92]PEZESHKPOUR P, IRVINE C, TIAN Y, et al. Investigating robustness and interpretability of link prediction via adversarial modifications[C]//Proceedings of the 2019 Conference of the North American Chapter of the Association for Computational Linguistics: Human Language Technologies. 2019: 3336-3347.

[93]JIN W, MA Y, LIU X, et al.Graph structure learning for robust graph neural networks[C]//KDD ’20: The 26th ACM SIGKDD Conference on Knowledge Discovery and Data Mining, Virtual Even. 2020: 66-74.

[94]SUN M, TANG J, LI H, et al. Data poisoning attack against unsupervised node embedding methods[J]. arXiv preprint arXiv: 1810.12881, 2018.

[95]SEN P, NAMATA G, BILGIC M, et al. Collective classification in network data[J]. AI Magazine, 2008, 29(3): 93.

[96]MCCALLUM A, NIGAM K, RENNIE J, et al. Automating the construction of internet portals with machine learning[J]. Information Retrieval, 2000, 3(2): 127-163.

[97]HAMILTON W, YING Z, AND LESKOVEC J. Inductive representation learning on large graphs[C]//Advances in Neural Information Processing Systems 30: Annual Conference on Neural Information Processing Systems 2017. 2017: 1024-1034.

[98]LUSSEAU D, SCHNEIDER K, BOISSEAU O, et al. The bottlenose dolphin community of doubtful sound features a large proportion of long-lasting associations[J]. Behavioral Ecology and Sociobiology, 2003, 54(4): 396-405.

[99]ZACHARY W. An information flow model for conflict and fission in small groups[J]. Journal of anthropological research, 1977, 33(4): 452-473.

[100]GIRVAN M AND NEWMAN M. Community structure in social and biological networks[C]//Proceedings of the National Academy of Sciences. 2002:7821-7826.

[101]BORGWARDT K, ONG C, SCHOENAUER S, et al. Protein function prediction via graph kernels[J]. Bioinformatics, 2005, 21(1): 47-56.

[102]WALE N, KARYPIS G. Comparison of descriptor spaces for chemical compound retrieval and classification[C]//Proceedings of the 6th IEEE International Conference on Data Mining (ICDM 2006). 2006: 678-689.

[103]DOBSON P, DOIG A. Distinguishing enzyme structures from non-enzymes without alignments[J]. Journal of molecular biology, 2003, 330(4): 771-783.

[104]ZUGNER D AND GUNNEMANN S. Certifiable robustness and robust training for graph convolutional networks[C]//Proceedings of the 25th ACM SIGKDD International Conference on Knowledge Discovery & Data Mining. 2019: 246-256.

Adversarial attack and defense on graph neural networks: a survey

CHEN Jinyin1,2, ZHANG Dunjie2, HUANG Guohan2, LIN Xiang2,BAO Liang3

1. Institute of Cyberspace Security, Zhejiang University of Technology, Hangzhou 310023, China 2.The College of Information Engineering, Zhejiang University of Technology, Hangzhou 310023, China 3.Key Lab of Information Network Security, Ministry of Public Security, Shanghai 200000, China

For the numerous existing adversarial attack and defense methods on GNN, the main adversarial attack and defense algorithms of GNN were reviewed comprehensively, as well as robustness analysis techniques. Besides, the commonly used benchmark datasets and evaluation metrics in the security research of GNN were introduced. In conclusion, some insights on the future research direction of adversarial attacks and the trend of development were put forward.

graph neural networks, adversarial attack, defense algorithms, robustness analysis

TP29

A

10.11959/j.issn.2096?109x.2021051

2020?07?02；

2020?10?09

鮑亮，baoliang@stars.org.cn

國家自然科學(xué)基金（62072406）；浙江省自然科學(xué)基金（LY19F020025）；信息網(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室開放課題項(xiàng)目（C20604）

The National Natural Science Foundation of China (62072406), The Natural Science Foundation of Zhejiang Province (LY19F020025), Key Lab of Information Network Security, Ministry of Public Security (C20604)

陳晉音, 張敦杰, 黃國瀚, 等. 面向圖神經(jīng)網(wǎng)絡(luò)的對(duì)抗攻擊與防御綜述[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2021, 7(3): 1-28.

CHEN J Y, ZHANG D J, HUANG G H, et al. Adversarial attack and defense on graph neural networks: a survey[J]. Chinese Journal of Network and Information Security, 2021, 7(3): 1-28.

陳晉音（1982? ），女，浙江象山人，博士，浙江工業(yè)大學(xué)副教授，主要研究方向?yàn)槿斯ぶ悄馨踩?、圖數(shù)據(jù)挖掘和進(jìn)化計(jì)算。

張敦杰（1997? ），男，浙江蒼南人，浙江工業(yè)大學(xué)碩士生，主要研究方向?yàn)閿?shù)據(jù)挖掘與應(yīng)用、智能計(jì)算。

黃國瀚（1997? ），男，浙江臺(tái)州人，浙江工業(yè)大學(xué)碩士生，主要研究方向?yàn)閳D數(shù)據(jù)挖掘和人工智能安全。

林翔（1996? ），男，浙江寧波人，浙江工業(yè)大學(xué)碩士生，主要研究方向?yàn)閳D數(shù)據(jù)挖掘與應(yīng)用。

鮑亮（1983? ），男，安徽壽縣人，公安部第三研究所助理研究員，主要研究方向?yàn)樾畔⒕W(wǎng)絡(luò)安全、網(wǎng)絡(luò)防護(hù)技術(shù)、網(wǎng)絡(luò)攻擊數(shù)據(jù)分析。