AAAI（人工智能促進協會年會）是人工智能領域的頂級國際會議之一。今年的 AAAI 2020 是第 34 屆，于 2 月 7 日至 12 日在美國紐約舉行。今年，第 3 次參會的騰訊 AI Lab 共有 31 篇論文入選，涵蓋自然語言處理、計算機視覺、機器學習、機器人等領域。

今天我們要解讀的入選論文是：A Restricted Black-box Adversarial Framework Towards Attacking Graph Embedding Models。這篇論文由騰訊 AI Lab 與清華大學合作完成。文章提出了一種在受限黑盒攻擊情形下，針對多種圖嵌入模型進行統一對抗攻擊的框架。該方法從圖信號處理的角度出發，建立了不同圖嵌入模型之間的理論聯系，進而可以更有效地對圖嵌入模型進行攻擊。

論文鏈接：https://arxiv.org/abs/1908.01297

源碼鏈接：https://github.com/SwiftieH/GFAttack

近年來，不管是在學術圈還是工業界，圖嵌入模型都取得了很大的成功，但與此同時圖嵌入模型對于對抗擾動的魯棒性也隨之引起了人們的關注。在圖模型上進行對抗擾動從去年開始成為了一個熱點方向。具體而言，對于一個節點，攻擊者有策略地將其連接到圖中的其他節點，目標是降低這個節點被圖模型正確分類的概率。

現有的對于圖嵌入模型的對抗攻擊方法大部分都局限于白盒攻擊的情形下，即假設攻擊者可以基于目標的模型參數、模型預測結果或者數據標簽等額外數據對模型進行攻擊。這些信息往往在現實條件下難以獲得，就是說白盒攻擊對真實模型的威脅其實是非常有限的。?

本文研究了更有威脅而且挑戰性的攻擊設置：黑盒攻擊，即如何在不知道模型信息和數據標簽的情況下對圖表示學習模型進行攻擊。為此，作者從原理上研究了圖信號處理和圖表示學習模型之間的理論聯系，然后將圖嵌入模型建模成不同圖濾波器的圖信號處理過程并且構造了一個通用黑盒攻擊框架：GF-Attack。

GF-Attack 由圖鄰接矩陣和特征矩陣作為輸入，其不會訪問圖表示學習模型中的目標分類器的任何知識，而僅以黑盒攻擊方式對圖濾波這一過程進行攻擊。以下是 GF-Attack 的具體攻擊流程。

論文方法

我們定義在圖嵌入模型上進行對抗攻擊的核心任務是破壞模型輸出的圖嵌入向量的質量，從而降低利用圖嵌入進行的下游任務的性能。在給定攻擊者可以修改的邊數限制 β 的情況下，對于圖嵌入模型的對抗擾動可以被看做如下的優化問題：

其中，A 和 X 分別是圖中的鄰接矩陣，Z 是圖嵌入模型??的輸出，L(?,?) 是參數為 θ 的損失函數，L(A',Z) 是用來衡量對輸出圖嵌入向量破壞程度的損失函數，越低的損失函數值對應越高的圖嵌入向量的質量。

和離散信號處理相似，圖信號處理可以將圖上的信號定義為一個從節點映射到特征的映射。從這一點出發，作者把圖嵌入模型統一地看作是利用圖濾波器和特征變化產生新的圖信號的過程：

其中，H 是圖信號濾波器，通常可以構建為一個關于圖平移濾波器 S 的多項式函數 H=h(S)。圖平移濾波器 S 反映了圖的一些局部特性，如表征一個節點上信號及其鄰近節點的線性變換，因而 S 的一些通常選擇包括鄰接矩陣 A 或者拉普拉斯矩陣 L=D-A 等。σ(.) 是激活函數。

基于 (2)，作者將圖嵌入模型建模為一種特殊的圖信號處理的過程，進而提出了基于圖信號處理的攻擊框架 GF-Attack。在黑盒攻擊場景下（避免使用目標模型的參數或者數據標簽），作者將攻擊的目標設定為攻擊圖信號濾波器 H。

在攻擊過程中，目標是盡可能地破壞輸出嵌入向量的質量。作者將這一個問題定義為一個 T-rank 近似問題，用以衡量輸出嵌入向量的質量：

其中??是圖信號濾波器 h(S') 的 T-rank 近似。更進一步，作者可以將這個問題轉化為最大化式子 (3) 的上界，從而將對圖嵌入模型的統計攻擊轉化為如下的優化問題：

其中，?與??分別是圖信號濾波器 h(S) 的一對特征值和特征向量。為了避免每次利用特征值展開來計算??帶來的計算復雜度，作者進一步利用特征值擾動理論從 估計?，使得框架的實用性得以提高。

有了統一的優化問題之后，作者分別以圖卷積網絡（如 GCN，式子 (8)）和基于采樣的圖嵌入模型（如 DeepWalk，式子 (12)）所使用的圖信號濾波器為例，構造了兩個可以用來對圖嵌入模型進行攻擊的實例，分別如下：

這樣對于任何給定的圖嵌入模型，在受限黑盒條件下，攻擊者不需要知道具體的模型參數和預測輸出就可以選擇使用式子 (8) 或者式子 (12) 來生成對抗擾動的邊樣本，然后將擾動樣本輸入到目標模型中完成攻擊。具體的算法如下所示：

實驗

為了驗證 GF-Attack 框架的有效性，作者實驗了將 GF-Attack 產生的對抗樣本分別用于攻擊四種主流的圖嵌入模型。為了增加實驗中任務的難度，作者限制了可修改邊數 β=1，其結果如下表 1 所示：

▲?表1. 相比于未被攻擊的原始圖的分類準確度變化情況總結。RBA 設置下的單邊擾動設置。結果越低越好

從表中可以觀察到，相比于之前的基于強化學習的攻擊方法，GF-Attack 對目標模型能夠實施更有效的攻擊。?

此外，作者還進行了運算時間比較、可以修改多條邊等實驗，其實驗結果分別如下所示：

▲?表2. 在 Citeseer 上所有基準方法的運行時間比較。這里報告的結果是每個模型處理單個節點的 10 次重復實驗的平均運行時間

▲?圖3. RBA 設置下，在 Cora 上的多邊攻擊結果。越低越好

從以上的結果中可以發現，GF-Attack 在生成多條邊的對抗擾動下依然有十分好的效果，同時在運行時間上相對其他的攻擊方法也有所減少，進一步驗證了 GF-Attack 框架的時間效率和有效性。

這篇文章作為早期對于圖嵌入模型的對抗攻擊和魯棒性學習的研究，同時將圖信號處理和圖嵌入模型在理論上進行了聯系，對于這一研究方向的進一步發展具有重要的意義。

點擊以下標題查看更多往期內容：?

• 這10篇硬核論文，讓你更了解圖神經網絡
  

• AAAI 2020 開源論文 | 多成分圖卷積協同過濾
  

• ICLR 2020?| 隱空間的圖神經網絡：Geom-GCN
  

• KDD 2019?| 基于異質圖神經網絡的用戶意圖推薦
  

• 異質圖神經網絡領域有哪些值得讀的頂會論文？
  

• NeurIPS 2019 開源論文 | 萬能的GNN解釋器
  

#投 稿 通 道#

?讓你的論文被更多人看到?

如何才能讓更多的優質內容以更短路徑到達讀者群體，縮短讀者尋找優質內容的成本呢？答案就是：你不認識的人。

總有一些你不認識的人，知道你想知道的東西。PaperWeekly 或許可以成為一座橋梁，促使不同背景、不同方向的學者和學術靈感相互碰撞，迸發出更多的可能性。?

PaperWeekly 鼓勵高校實驗室或個人，在我們的平臺上分享各類優質內容，可以是最新論文解讀，也可以是學習心得或技術干貨。我們的目的只有一個，讓知識真正流動起來。

?????來稿標準：

? 稿件確系個人原創作品，來稿需注明作者個人信息（姓名+學校/工作單位+學歷/職位+研究方向）?

? 如果文章并非首發，請在投稿時提醒并附上所有已發布鏈接?

? PaperWeekly 默認每篇文章都是首發，均會添加“原創”標志

???? 投稿郵箱：

? 投稿郵箱：hr@paperweekly.site?

? 所有文章配圖，請單獨在附件中發送?

? 請留下即時聯系方式（微信或手機），以便我們在編輯發布時和作者溝通

????

現在，在「知乎」也能找到我們了

進入知乎首頁搜索「PaperWeekly」

點擊「關注」訂閱我們的專欄吧

關于PaperWeekly

PaperWeekly 是一個推薦、解讀、討論、報道人工智能前沿論文成果的學術平臺。如果你研究或從事 AI 領域，歡迎在公眾號后臺點擊「交流群」，小助手將把你帶入 PaperWeekly 的交流群里。

▽ 點擊 |?閱讀原文?| 下載論文 & 源碼

總結

以上是生活随笔為你收集整理的AAAI 2020 开源论文 | 一种针对图嵌入模型的受限黑盒对抗攻击框架的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。