咱們天生了針對節點特色和圖機閉的抗拒擾動，所以思索了實例之間的依賴閉聯。其它，咱們通過保存緊張的數據特色來確保擾動不易被察覺藥局威而鋼？爲了應對潛正在的離散周圍，威而鋼醫學知識咱們提出了一種欺騙增量陰謀的高效算法 Nettack。咱們的測驗商討聲明縱然僅增加了很少的擾動，節點分類的精確率也會明顯降低。此表，咱們的攻擊措施是可轉移的：進修到的攻擊可能泛化到其它現在最佳的節點分類模子和無監視措施上，而且相仿地，縱然僅給定了閉于圖的有限常識，該措施也能獲勝完成攻擊。

圖 6b 和 6c 顯示，Nettack 發生的本能惡化成就可轉移至區別（半監視）圖卷積措施：GCN [20] and CLN [29]。最彰著的是，縱然是無監視模子 DeepWalk [28] 也受到咱們的擾動的極大影響（圖 6d）。

該論文提出一個對屬性圖舉辦抗拒擾動的規則，旨正在詐欺現在最優的圖深度進修模子。詳細來說，該商討首要針對基于圖卷積搜集（如 GCN [20] 和 Column Network（CLN）[29]）的半監視分類模子，但提出的措施也有恐怕實用于無監視模子 DeepWalk [28]。商討者默認假設攻擊者具備統統數據的常識，但只可掌握個中的一個人。該假設確保最倒黴環境下的牢靠虛弱性判辨。然則，縱然僅相識個人數據，測驗聲明本商討中的攻擊還是有用。該論文的功勳如下！

算法：該商討開辟了一種高效算法 Nettack，基于線性化思緒陰謀這些攻擊。該措施完成了增量陰謀，並欺騙圖的稀少性舉辦迅速施行。

圖 3 湧現了正在有或沒有咱們的抑造下，取得的圖的檢修統計量 Λ。如圖可知，咱們強加的抑造會對攻擊發生影響；如若沒有強加抑造，損壞的圖的冪律漫衍將變得和原始圖越發欠好像。相仿地，表 2 湧現了特色擾動的結果。

圖 7 判辨了攻擊僅具備有限常識時的結果：給出方針節點 v_0，咱們僅爲模子供應比擬 Cora 圖其尺寸更大的圖的子圖。

該論文試圖辦理這一題目，作家商討了此類操控是否恐怕。用于屬性圖的深度進修模子真的很容易被詐欺嗎？其結果可托水平怎麽？

8 月 19 日至 23 日，數據發現頂會 KDD 2018 正在英國倫敦實行，昨日大會頒發了最佳論文等獎項。最佳論文來自慕尼黑工業大學的商討者，他們提出了針對圖深度進修模子的抗拒攻擊措施，是首個正在屬性圖上的抗拒攻擊商討。商討者還提出了一種欺騙增量陰謀的高效算法 Nettack。其它，測驗聲明該攻擊措施是可能轉移的。

圖 3（左）：檢修統計量 Λ 的變更（度漫衍）。圖 4（右）梯度 vs. 實質虧損。

謎底難以意料：一方面，閉聯效應（relational effect）恐怕刷新魯棒性，由于預測並未基于獨立的實例，而是連合地基于區別的實例。另一方面，消息鼓吹恐怕帶來級聯效應（cascading effect），即掌握一個實例會影響到其他實例。與現有的抗拒攻擊商討比擬，本論文正在許多方面都大不相仿。

測驗：測驗聲明該商討提出的模子僅對圖舉辦稍微改動，即可惡化方針節點的分類結果。商討者進一步聲明這些結果可轉移至其他模子、區別數據集，全部而言，這誇大了應對圖數據攻擊的須要性。

表 3 總結了該措施正在區別數據集和分類模子上的結果。這裏，咱們陳訴了被無誤分類的個人方針節點。咱們對代勞模子（surrogate model）的抗拒擾動可正在咱們評估的這些數據集上轉移至這三種模子。威而鋼蝦皮絕不稀罕，influencer 攻擊比直接攻擊導致的本能降低越發彰著。

圖數據是許多高影響力使用的重點，例如社交和評級搜集判辨（Facebook、Amazon）、基因互相效用搜集（BioGRID），以及互連文檔聚攏（PubMed、Arxiv）。基于圖數據的一個最常使用做事是節點分類：給出一個大的（屬性）圖和少許節點的種別標簽，來預測其余節點的種別標簽。比如，你恐怕思對生物互相效用圖（biological interaction graph）中的卵白質舉辦分類、預測電子商務搜集頂用戶的類型 [13]，或者把引文搜集中的科研論文按中心分類 [20]。

圖 2：跟著擾動數目的拉長，均勻代勞虧損（surrogate loss）的變更弧線。由咱們模子的區別變體正在 Cora 數據集上取得，數值越大越好。

模子：該商討針對節點分類提出一個基于屬性圖的抗拒攻擊模子，引入了新的攻擊類型，可明晰辨別攻擊者和方針節點。這些攻擊可能掌握圖機閉和節點特色，同時通過連結緊張的數據特色（如度漫衍、特色共現）來確保調度不被發掘。

然則，這些措施存正在一個大題目：人們都明白用于分類進修做事的深度進修架構很容易被詐欺／攻擊 [15, 31]。縱然是增加細微擾動要素的實例（即抗拒擾動／樣本）也恐怕導致結果不直觀、弗成托，也給思要欺騙這些缺陷的攻擊者開了便利之門。目前基于圖的深度進修措施的抗拒擾動題目並未取得辦理。這絕頂緊張，越發是對待利用基于圖的進修的周圍（如 web），抗拒絕頂常見，僞善數據很容易侵入：例如垃圾郵件創設者向社交搜集增加失誤的消息；不法分子頻仍操控正在線]。

圖 6a 評估了兩個攻擊類型的 Nettack 本能：逃逸攻擊（evasion attack），基于原始圖的模子參數（這裏用的是 GCN [20]）連結穩定；投毒攻擊（poisoning attack），模子正在攻擊之後舉辦從新演練（均勻 10 次運轉）。

圖 6：利用區別攻擊算法正在 Cora 數據上的結果。Clean 呈現原始數據。分值越低呈現結果越好。

摘要：使用到圖的深度進修模子曾經正在節點分類做事上完成了健壯的本能。只管此類模子數目激增，但目前仍未有商討涉及它們正在抗拒攻擊下的魯棒性。而正在它們恐怕被使用的周圍（比如網頁），抗拒攻擊是很常見的。圖深度進修模子會輕松地被詐欺嗎？正在這篇論文中，詳細而言，咱們聚焦于圖卷積模子。除了測試時的攻擊以表，咱們還辦理了更具離間性的投毒/誘發型（poisoning/causative）攻擊，個中咱們聚焦于呆板進修模子的演練階段。

原題目：KDD 2018 最佳論文：首個面向Facebook、arXiv搜集圖類的抗拒攻擊商討！

這些措施的才華跨越了其非線性、層級素質，依賴于欺騙圖閉聯消息來施行分類做事：它們不單僅獨速即思索實例（節點及其特色），還欺騙實例之間的閉聯（邊沿）。換言之，實例不是被辭別經管的，這些措施經管的是某種式樣的非獨立同漫衍（i.i.d.）數據，正在經管曆程中欺騙所謂的搜集效應（似乎質性（homophily）[22]）來援救分類。