陳晉音，張敦杰，黃國瀚，林翔，鮑亮

面向圖神經(jīng)網(wǎng)絡(luò)的對抗攻擊與防御綜述

陳晉音1,2，張敦杰2，黃國瀚2，林翔2，鮑亮3

（1.浙江工業(yè)大學(xué)網(wǎng)絡(luò)空間安全研究院，浙江 杭州 310023；2. 浙江工業(yè)大學(xué)信息工程學(xué)院，浙江 杭州 310023；3. 信息網(wǎng)絡(luò)安全公安部重點實驗室，上海 200000）

面向已有的圖神經(jīng)網(wǎng)絡(luò)的攻擊與防御方法，較全面地綜述了圖神經(jīng)網(wǎng)絡(luò)對抗攻防技術(shù)與魯棒性分析。首先，綜述了圖神經(jīng)網(wǎng)絡(luò)在不同任務(wù)下的對抗攻擊與基于不同策略的防御方法，并全面介紹了魯棒性分析技術(shù)；隨后，介紹了常用的基準(zhǔn)數(shù)據(jù)集與評價指標(biāo)；最后，提出了未來可能的研究方向和發(fā)展趨勢。

圖神經(jīng)網(wǎng)絡(luò)；對抗攻擊；防御算法；魯棒性分析

1 引言

隨著人工智能技術(shù)的研究與發(fā)展，深度學(xué)習(xí)在自然語言處理[1-3]、圖像識別[4]、信號處理[5]、物體識別[6]等領(lǐng)域中表現(xiàn)不俗，卷積神經(jīng)網(wǎng)絡(luò)就是其中的典型代表之一。圖數(shù)據(jù)由于其強大的表達(dá)能力，在現(xiàn)實生活中有著廣泛的應(yīng)用[7]。但是基于圖結(jié)構(gòu)不具有平移不變性，每一個節(jié)點周圍結(jié)構(gòu)可能大不相同，這使傳統(tǒng)的深度學(xué)習(xí)模型難以發(fā)揮作用。針對具有不規(guī)則的空間結(jié)構(gòu)的圖數(shù)據(jù)，研究人員[8-11]嘗試將神經(jīng)網(wǎng)絡(luò)推廣用以處理任意結(jié)構(gòu)的圖，圖神經(jīng)網(wǎng)絡(luò)[12-16]應(yīng)運而生。

圖神經(jīng)網(wǎng)絡(luò)可以巧妙地從圖數(shù)據(jù)中提取特征，而這些被提取出來的特征可以完成許多圖數(shù)據(jù)分析任務(wù)，如節(jié)點分類[17-18]、鏈路預(yù)測[19-20]、社區(qū)發(fā)現(xiàn)[21-22]和圖分類[23]等。這些圖數(shù)據(jù)分析任務(wù)又被廣泛應(yīng)用于社交網(wǎng)絡(luò)[24]、推薦系統(tǒng)[25-26]、電子商務(wù)網(wǎng)絡(luò)[27]等實際場景。假如應(yīng)用于這些實際場景的圖神經(jīng)網(wǎng)絡(luò)算法存在明顯的漏洞，可能會帶來嚴(yán)重的后果。例如，在電子商務(wù)領(lǐng)域，網(wǎng)絡(luò)水軍的存在給真實用戶帶來了極大的困擾和誤導(dǎo)；在社交網(wǎng)絡(luò)中，一則虛假消息如果不能被有效地檢測出，有可能導(dǎo)致謠言散播，造成不良影響。因此，圖神經(jīng)網(wǎng)絡(luò)的安全性問題也是研究熱點之一。

在對圖神經(jīng)網(wǎng)絡(luò)的安全性研究過程中，研究者發(fā)現(xiàn)：圖神經(jīng)網(wǎng)絡(luò)很容易被一些微小的擾動迷惑，這類擾動被定義為對抗性擾動。對抗攻擊發(fā)生在模型的測試階段，攻擊者根據(jù)模型結(jié)構(gòu)精心設(shè)計微小的擾動，并將其添加在原始數(shù)據(jù)中，從而使圖神經(jīng)網(wǎng)絡(luò)模型誤判，達(dá)到愚弄圖神經(jīng)網(wǎng)絡(luò)模型的目的。而通過對圖神經(jīng)網(wǎng)絡(luò)的攻擊研究可以發(fā)現(xiàn)圖神經(jīng)網(wǎng)絡(luò)存在的缺陷。根據(jù)這些漏洞提出相應(yīng)的防御措施來增強模型的魯棒性顯得尤為重要。Zügner等[28]首次提出在圖上進(jìn)行對抗攻擊，他們提出的NETTACK算法通過重要的數(shù)據(jù)特征（如度分布）選擇候選的連邊和特征，在評估函數(shù)的指導(dǎo)下選擇修改得分最高的連邊或特征來生成微小的對抗性擾動，并更新對抗性網(wǎng)絡(luò)，以此使圖神經(jīng)網(wǎng)絡(luò)失效。之后，面向圖神經(jīng)網(wǎng)絡(luò)的對抗攻擊方法的研究相繼展開：Dai[29]、Wang[30]、Zhou[31]、Bojchevski[32]、Sun[33]、Chen[34-37]等[38-45]紛紛加入了對抗攻擊的研究行列。此外，面向圖神經(jīng)網(wǎng)絡(luò)的防御方法的研究陸續(xù)展開，如Dai[29]等嘗試在訓(xùn)練中隨機丟棄一些連邊來達(dá)到一定的防御目的；Feng[46]、Chen[47]等利用對抗訓(xùn)練來使模型對對抗攻擊具有一定的魯棒性；而其他研究者分別從不同的角度提出了相應(yīng)的防御方法[48-56]。

Jin等[57]對現(xiàn)有的對抗攻擊方法進(jìn)行了一系列的描述和詳細(xì)分類。同樣地，Sun等[58]詳細(xì)闡述了面向圖卷積網(wǎng)絡(luò)的對抗攻擊方法。Chen等[59]根據(jù)攻擊的不同應(yīng)用場景和防御的不同原理分別對其進(jìn)行了系統(tǒng)的分類，并強調(diào)了相關(guān)評價指標(biāo)的重要性，對其進(jìn)行了全面的調(diào)查和總結(jié)。值得注意的是，他們的研究主要集中于分析現(xiàn)有的對抗攻擊和防御方法原理并對其分類。本文針對圖挖掘的不同應(yīng)用任務(wù)，分別詳細(xì)介紹現(xiàn)有的對抗攻擊、防御方法與相應(yīng)的評價指標(biāo)，并重點介紹模型魯棒性分析技術(shù)，最后總結(jié)圖挖掘攻防未來可能的研究方向。

本文旨在針對不同的攻擊分類標(biāo)準(zhǔn)與防御策略分別定義對抗攻擊與防御，并對已有的面向圖神經(jīng)網(wǎng)絡(luò)的對抗攻擊和防御方法、常用數(shù)據(jù)集及評價指標(biāo)進(jìn)行系統(tǒng)綜述，并展望面向圖神經(jīng)網(wǎng)絡(luò)攻防方法未來的可能研究方向和發(fā)展趨勢。圖神經(jīng)網(wǎng)絡(luò)魯棒性分析方法作為面向圖神經(jīng)網(wǎng)絡(luò)的防御方法中的一個分支，對模型或數(shù)據(jù)安全給出了更多的理論性分析與評估，本文同樣對當(dāng)前圖神經(jīng)網(wǎng)絡(luò)的魯棒性分析方法進(jìn)行了詳細(xì)的描述和分析。

2 圖神經(jīng)網(wǎng)絡(luò)攻防理論分析

本節(jié)首先介紹了圖神經(jīng)網(wǎng)絡(luò)常見的圖數(shù)據(jù)類型和主要的下游圖分析任務(wù)，隨后給出了圖神經(jīng)網(wǎng)絡(luò)攻擊的統(tǒng)一建模，最后分別介紹了圖神經(jīng)網(wǎng)絡(luò)攻擊與防御的理論定義，并根據(jù)攻擊與防御方法的不同層面進(jìn)行分類與分析。

2.1 圖神經(jīng)網(wǎng)絡(luò)

2.1.1 圖數(shù)據(jù)的類型

在實際應(yīng)用中，根據(jù)不同數(shù)據(jù)本身的特性，圖具有多種表現(xiàn)形式，本節(jié)進(jìn)一步介紹不同類型的圖數(shù)據(jù)。

同構(gòu)圖與異構(gòu)圖：在實際應(yīng)用中，節(jié)點與連邊往往存在多種類型。由多個類型的節(jié)點/連邊構(gòu)成的圖稱為異構(gòu)圖，如開放學(xué)術(shù)圖（OAG）[64]存在論文、作者、領(lǐng)域、機構(gòu)和地點5個類型的節(jié)點。類似于上述的Facebook數(shù)據(jù)集[61]，若圖僅包含一個類型的節(jié)點與連邊，則稱之為同構(gòu)圖。

表1 常用符號及定義

2.1.2 不同的下游任務(wù)

圖神經(jīng)網(wǎng)絡(luò)的發(fā)展促進(jìn)了許多下游的圖分析任務(wù)的應(yīng)用，本節(jié)根據(jù)下游分析任務(wù)關(guān)注的不同目標(biāo)（節(jié)點、連邊、圖和社區(qū)結(jié)構(gòu)），主要介紹4類圖挖掘任務(wù)：節(jié)點分類任務(wù)、鏈路預(yù)測任務(wù)、圖分類任務(wù)和社區(qū)檢測任務(wù)。

圖分析任務(wù)學(xué)習(xí)的統(tǒng)一表示為

2.2 攻擊統(tǒng)一建模

(3)

圖1為對抗攻擊的示意圖（以修改連邊為例），圖2為攻擊前后對后續(xù)任務(wù)的影響示意圖。

圖1 針對圖卷積神經(jīng)網(wǎng)絡(luò)的對抗攻擊

Figure1 Adversarial attack on graph neural network

2.3 圖神經(jīng)網(wǎng)絡(luò)攻擊原理

2.3.1 不同知識背景的攻擊

白盒攻擊：目標(biāo)模型的參數(shù)、訓(xùn)練數(shù)據(jù)、類標(biāo)和預(yù)測輸出均可知，攻擊者根據(jù)這些已知信息進(jìn)行攻擊策略的選擇，如利用模型的梯度信息產(chǎn)生攻擊。在實際情況中往往無法獲得這些信息，因此白盒攻擊常用于評估目標(biāo)模型在極端惡劣的情況下的魯棒性。

圖2 對抗攻擊對后續(xù)任務(wù)的影響

Figure2 Impacts of adversarial attacks on downstream tasks

黑盒攻擊：攻擊者對目標(biāo)模型的參數(shù)、訓(xùn)練數(shù)據(jù)、類標(biāo)和預(yù)測輸出均不可知，僅通過目標(biāo)模型的輸入和輸出信息實施攻擊，因此黑盒攻擊更具有挑戰(zhàn)性。

灰盒攻擊：在模型結(jié)構(gòu)不能完全已知情況下，使用帶有類標(biāo)的數(shù)據(jù)訓(xùn)練一個替代模型，近似目標(biāo)模型結(jié)構(gòu)，并對此模型實施白盒攻擊生成，完成對真實目標(biāo)模型的攻擊，稱之為灰盒攻擊。

2.3.2 不同攻擊策略

修改連邊：圖數(shù)據(jù)的拓?fù)浣Y(jié)構(gòu)在很大限度上決定了圖的特性，在指定的攻擊代價下增/刪網(wǎng)絡(luò)中的連邊數(shù)量以達(dá)到對圖數(shù)據(jù)拓?fù)浣Y(jié)構(gòu)的攻擊，往往能對圖神經(jīng)網(wǎng)絡(luò)產(chǎn)生明顯的影響。連邊攻擊的代價可以表示為

添加虛假節(jié)點及對應(yīng)連邊：攻擊者為了保存網(wǎng)絡(luò)原有節(jié)點與連邊的信息，通過向網(wǎng)絡(luò)中添加虛假節(jié)點和對應(yīng)的部分連邊實現(xiàn)攻擊，添加虛假節(jié)點通常伴隨著對應(yīng)連邊的增加，其攻擊代價可以表示為

2.3.3 不同的攻擊能力

2.3.4 不同的攻擊目標(biāo)

無目標(biāo)攻擊：以節(jié)點分類任務(wù)為例，無目標(biāo)攻擊并不關(guān)心目標(biāo)樣本的預(yù)測結(jié)果，只要預(yù)測是錯誤的，就認(rèn)為攻擊成功。

目標(biāo)攻擊：要求圖神經(jīng)網(wǎng)絡(luò)將目標(biāo)樣本誤分類成攻擊者指定的類標(biāo)。從難度上來說，有目標(biāo)攻擊的實現(xiàn)難于無目標(biāo)攻擊。

2.3.5 不同的攻擊任務(wù)

根據(jù)上文所述的圖攻擊能力，中毒攻擊需要改變目標(biāo)模型的參數(shù)，這使中毒攻擊相較于對抗攻擊更加復(fù)雜。本文以中毒攻擊為例，介紹攻擊不同圖神經(jīng)網(wǎng)絡(luò)任務(wù)的原理。

以多個網(wǎng)絡(luò)作為輸入，實現(xiàn)對某個網(wǎng)絡(luò)的攻擊。

其中，表示連邊存在狀態(tài)，值為0或1，根據(jù)現(xiàn)有信息降低存在連邊的可能性。

其中，C為節(jié)點v所屬的社團。

2.4 圖神經(jīng)網(wǎng)絡(luò)防御原理

隨著圖神經(jīng)網(wǎng)絡(luò)攻擊研究的逐步深入，面向圖神經(jīng)網(wǎng)緝私的防御方法的研究也進(jìn)展迅速，針對不同的對象提出了防御策略，可將防御問題描述如下。

本節(jié)根據(jù)防御策略的不同對當(dāng)前的防御方法進(jìn)行系統(tǒng)分類，并對一些面向圖神經(jīng)網(wǎng)絡(luò)的魯棒性方法進(jìn)行原理分析。

2.4.1 不同的防御策略

1) 對抗訓(xùn)練：常用防御方法之一，將對抗樣本打上正確類標(biāo)對模型進(jìn)行訓(xùn)練，使模型具備對應(yīng)攻擊方法的防御能力，該防御方法受對抗攻擊方法的限制，即對未知的對抗攻擊無法實現(xiàn)對抗訓(xùn)練完成防御。對抗訓(xùn)練分為兩種類型。

①在兩種相反的目標(biāo)函數(shù)（最小化和最大化）的指導(dǎo)下，在連續(xù)的最小?最大博弈中逐步優(yōu)化模型，目標(biāo)可以描述為

2) 對抗性擾動檢測：一些工作更側(cè)重于對抗性攻擊的檢測，此類方法通過研究對抗性樣本和干凈樣本之間的差異實現(xiàn)對抗性擾動檢測。對抗性擾動檢測雖然不能起到直接防御的作用，但是可以作為一種對應(yīng)圖神經(jīng)網(wǎng)絡(luò)攻擊的監(jiān)控手段，提前發(fā)現(xiàn)對抗性擾動以更有效率地進(jìn)行下一步的防御措施。

3) 啟發(fā)式：此類方法在可接受的花費（指計算時間和空間）下給出圖神經(jīng)網(wǎng)絡(luò)訓(xùn)練中待解決組合優(yōu)化問題的每一個實例的一個可行解。

4) 圖純化：此類方法主要用于防御中毒攻擊。圖純化方法將受到中毒攻擊的圖數(shù)據(jù)進(jìn)行純化，然后在純化后的圖上訓(xùn)練圖神經(jīng)網(wǎng)絡(luò)模型。

5) 注意力機制：此類方法學(xué)習(xí)一種注意力機制，用來區(qū)分對抗性擾動和干凈的樣本，通過懲罰對抗性節(jié)點或連邊上的權(quán)重來訓(xùn)練出魯棒的圖神經(jīng)網(wǎng)絡(luò)模型。

2.4.2 面向圖神經(jīng)網(wǎng)絡(luò)的魯棒性分析

圖神經(jīng)網(wǎng)絡(luò)的魯棒性分析同樣是攻防研究的重點方向，可以理解為圖神經(jīng)網(wǎng)絡(luò)的魯棒性分析是圖神經(jīng)網(wǎng)絡(luò)防御研究的一個方向。與其他防御方法不同，面向圖神經(jīng)網(wǎng)絡(luò)的魯棒性分析在防御對抗攻擊的同時，對模型或數(shù)據(jù)的安全性進(jìn)行評估。這種評估可以衡量不同網(wǎng)絡(luò)結(jié)構(gòu)和圖深度模型對對抗擾動的敏感性，在網(wǎng)絡(luò)結(jié)構(gòu)重要性分析和圖深度模型的可解釋性研究中均具有關(guān)鍵性作用。

3 面向圖神經(jīng)網(wǎng)絡(luò)的對抗攻擊方法

上文對圖神經(jīng)網(wǎng)絡(luò)攻擊方法從不同幾個方面進(jìn)行了分類，并給出了對應(yīng)的原理分析，為了加深對圖神經(jīng)網(wǎng)絡(luò)攻擊的理解，本節(jié)總結(jié)圖神經(jīng)網(wǎng)絡(luò)攻擊的相關(guān)研究，并詳細(xì)介紹現(xiàn)有圖神經(jīng)網(wǎng)絡(luò)攻擊技術(shù)，對算法中一些和圖神經(jīng)網(wǎng)絡(luò)攻擊相關(guān)性較弱的部分只進(jìn)行簡單的探討。不同攻擊方法的側(cè)重點不同，根據(jù)攻擊所針對的任務(wù)類型，可以將這些方法分為：針對節(jié)點分類的攻擊方法、針對圖分類的攻擊方法、針對鏈路預(yù)測的攻擊方法和針對社區(qū)檢測的攻擊方法。需要指出的是，圖神經(jīng)網(wǎng)絡(luò)攻擊方法可以在不同的分類標(biāo)準(zhǔn)上做出多種分類結(jié)果，由于同種攻擊目標(biāo)任務(wù)的攻擊方法在攻擊結(jié)果上有更高的相似性，本節(jié)以不同的攻擊目標(biāo)任務(wù)作為分類標(biāo)準(zhǔn)，對現(xiàn)有的圖神經(jīng)網(wǎng)絡(luò)攻擊方法進(jìn)行回顧。表2是對圖神經(jīng)網(wǎng)絡(luò)攻擊方法的歸納，為保證行文的流暢性，本節(jié)的論述主要是按時間順序組織的[67]。

3.1 節(jié)點分類攻擊

3.1.1 NETTACK

針對節(jié)點分類任務(wù)，Zügner等[28]首次提出在圖上進(jìn)行對抗性攻擊，并提出了NETTACK算法，迭代生成對抗性網(wǎng)絡(luò)，以此對GCN[68]進(jìn)行攻擊。為了確保對抗擾動不明顯，本節(jié)從3個角度分析擾動大小限制問題。

（1）修改代價：為了確保攻擊者不能完全修改圖數(shù)據(jù)，算法首先通過一個代價限制允許的變化數(shù)量，限制節(jié)點屬性和鄰接矩陣的改變量的總和不能大于一個上限。

3.1.2 RL-S2V

表2 對抗攻擊算法分類

圖3 GeneticAlg示意

Figure 3 Illustration of GeneticAlg

圖4 GradArgmax示意

Figure 4 Illustration of GradArgmax

3.1.3 FGA

3.1.4 Greedy-GAN

Wang等[30]指出，在很多情景下，攻擊現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)或特征矩陣是不現(xiàn)實的。他們通過惡意添加虛假節(jié)點，并將虛假節(jié)點連接到已有節(jié)點實現(xiàn)對圖數(shù)據(jù)的攻擊。針對假節(jié)點鄰接矩陣和特征矩陣設(shè)計中的離散輸入空間問題，本文提出了一種貪婪算法來生成惡意節(jié)點的連邊及其對應(yīng)特征，以最小化目標(biāo)節(jié)點的分類精度。為了確保擾動的隱蔽性，Greedy-GAN通過添加一個判別器，利用判別器與攻擊者的迭代訓(xùn)練確保虛假節(jié)點與真實節(jié)點的相似性。

3.1.5 ADW

3.1.6 Metattack

Zügner等[40]研究了針對節(jié)點分類的圖神經(jīng)網(wǎng)絡(luò)，擾亂離散圖結(jié)構(gòu)的訓(xùn)練中毒問題。文章提出了首個破壞全局節(jié)點分類性能的中毒攻擊Metattack，并將其表示為一個二次優(yōu)化問題。

Metattack的核心思想是使用元梯度來解決上述問題，本質(zhì)上是將圖結(jié)構(gòu)作為超參數(shù)，構(gòu)造元梯度來優(yōu)化。

3.1.7 控制圖結(jié)構(gòu)的圖分類攻擊

3.1.8 DAGAER

Avishek等[70]將對抗性攻擊視為一個生成模型問題，他們提出一種統(tǒng)一的編碼器?解碼器框架（DAGAER）來生成對抗性樣本的完整分布，能夠有效地為單個給定的輸入生成一組不同的攻擊。

圖5 DAGAER的主要組成部分與上代對抗性例子

Figure 5 The main components of DAGAER and the forward generation of an adversarial example

3.1.9 IG-FGSM/JSMA

Wu等[71]證明通過引入綜合梯度可以很容易地解決圖數(shù)據(jù)攻擊中的離散性問題，該梯度可以準(zhǔn)確地反映擾動某些特征或連邊的效果，同時可充分利用并行計算提高效率。他們提出兩種梯度攻擊方法IG-FGSM與IG-JSMA，前者基于目標(biāo)模型的損失函數(shù)獲得梯度，而后者根據(jù)GCN模型輸出的預(yù)測結(jié)果獲得梯度。不同于FGA的梯度攻擊，該方法考慮到對節(jié)點屬性的攻擊，根據(jù)梯度計算連邊與節(jié)點屬性的重要性，選擇更重要的修改項（連邊或?qū)傩裕M(jìn)一步實現(xiàn)攻擊操作。

3.1.10 梯度投影攻擊

Xu等[72]提出了一種新的基于梯度的攻擊方法，使處理離散圖數(shù)據(jù)變得更加容易。他們提出一階攻擊生成框架的兩種攻擊場景：①攻擊一個預(yù)定義的GNN；②攻擊一個可再訓(xùn)練的GNN。針對這兩種場景，利用一階優(yōu)化，提出兩種新的拓?fù)涔簦和队疤荻认陆担≒GD）拓?fù)涔艉妥钚∽畲螅∕in-max）拓?fù)涔簟?/p>

3.1.11 GF-Attack

GF-Attack通過構(gòu)造對應(yīng)的圖濾波器來描述圖嵌入模型，以黑箱攻擊方式僅對圖過濾器進(jìn)行攻擊，改變節(jié)點的特征值，進(jìn)而影響網(wǎng)絡(luò)嵌入方法的輸出結(jié)果。

3.1.12 ReWatt

Ma等[39]指出，圖神經(jīng)網(wǎng)絡(luò)的攻擊通常是通過添加或刪除一些邊來實現(xiàn)的，即使修改的邊的數(shù)量很少，也可能會引起注意，因此提出了一個圖形重布線的操作（ReWatt）實現(xiàn)對圖神經(jīng)網(wǎng)絡(luò)的攻擊，它對圖的影響相對不明顯。ReWatt使用強化學(xué)習(xí)來學(xué)習(xí)基于重布線操作的攻擊策略。這種策略的一個明顯優(yōu)點是它不會改變圖的節(jié)點數(shù)、邊數(shù)和總度。然而，單一的添加或刪除操作可能會改變這些屬性。

3.1.13 NIPA

3.1.14 GUA

3.1.15 POISONPROBE

Takahashi等[74]指出，在圖卷積分類器中，一個節(jié)點的分類結(jié)果可能會受到它鄰居節(jié)點的影響。他們提出POISONPROBE，如圖6所示，該方法攻擊目標(biāo)節(jié)點兩跳甚至多跳鄰居節(jié)點的節(jié)點特征，實現(xiàn)對目標(biāo)節(jié)點的有效攻擊。

圖6 通過毒害單一節(jié)點的非直接對抗攻擊

Figure 6 Indirect adversarial attack by poisoning a single node

POISONPROBE首先給出了中毒節(jié)點的選擇方法：定義中毒效率分?jǐn)?shù)，類似于將中毒信息從候選者傳遞到目標(biāo)路徑的帶寬，如果分?jǐn)?shù)很小，中毒信息將通過路徑縮小，限制擾動的大小。POISONPROBE算法由外環(huán)和內(nèi)環(huán)兩部分組成。內(nèi)環(huán)發(fā)現(xiàn)較小的擾動，在幾個參數(shù)固定的情況下可以達(dá)到預(yù)期的目標(biāo)攻擊。然后，外環(huán)利用二叉搜索迭代地發(fā)現(xiàn)參數(shù)。如果內(nèi)部循環(huán)成功找到對抗的擾動，它將降低內(nèi)環(huán)中初始常數(shù)λ。

3.1.16 MGA

3.2 鏈路預(yù)測攻擊

3.2.1 Triads Attack

圖7 CTR的主要思想說明

Figure 7 Illustration of the main idea of the CTR

圖8 OTC的主要思想說明

Figure 8 Illustration of the main idea of the OTC

3.2.2 IGA

針對鏈路預(yù)測任務(wù)，Chen等[35]提出了一種基于已訓(xùn)練的圖形自動編碼器（GAE）中梯度信息的迭代梯度攻擊（IGA）。IGA針對現(xiàn)實網(wǎng)絡(luò)的復(fù)雜性和網(wǎng)絡(luò)攻擊的局限性，提出了無限攻擊和單節(jié)點攻擊兩種對抗攻擊策略，對GAE的損失函數(shù)計算得到損失函數(shù)關(guān)于連邊的梯度矩陣，根據(jù)梯度矩陣對應(yīng)位置元素的正負(fù)值與絕對值選擇需要修改的連邊來實現(xiàn)攻擊。

3.2.3 Opt-Attack

3.2.4 Approx-Local

Zhou等[31]系統(tǒng)地研究攻擊者操縱鏈路預(yù)測的能力，通過刪除有限數(shù)量觀察到的連邊子集，以最小化一組目標(biāo)鏈路的總加權(quán)相似度得分；重點研究了相似性度量的兩個重要子類：僅利用目標(biāo)鏈路的局部信息的局部度量和使用全局網(wǎng)絡(luò)信息的全局度量。

對于局部度量，他們提出了一種最小化局部度量上界的算法，對應(yīng)于在基數(shù)約束下最大化子模函數(shù)，確定了兩種特殊情況：① 攻擊單個連邊，確保對所有局部度量的最佳攻擊；② 攻擊一組節(jié)點而第二種情況確保對共同鄰居度（CND，common neighbor degree）指標(biāo)的最佳攻擊。對于全局度量，證明即使在攻擊單個連邊時，最小化Katz相似度和最大化ACT全局相似性度量都是NP困難的。針對這兩個問題，他們分別提出了有效的貪婪算法（Greedy-Katz）和啟發(fā)式算法（(Local-ACT）。

3.2.5 TGA

3.3 圖分類攻擊

圖分類常見于對生物結(jié)構(gòu)的分類任務(wù)，通過學(xué)習(xí)圖整體結(jié)構(gòu)的低維嵌入對圖整體進(jìn)行分類。針對圖分類的攻擊，旨在使圖分類器分類錯誤，從而降低圖分類模型的準(zhǔn)確率和召回率。與節(jié)點分類攻擊相比，針對圖分類模型的攻擊研究相對較少。

3.3.1 RL-S2V

在3.1.2節(jié)中，Dai等[29]除了對節(jié)點分類任務(wù)進(jìn)行了攻擊。在圖分類任務(wù)中，RL-S2V利用圖分類模型得到馬爾可夫決策過程（MDP）中的獎勵值，GeneticAlg和GradArgmax通過圖分類模型的損失函數(shù)計算適應(yīng)性分?jǐn)?shù)與梯度。

3.3.2 多層次圖池化神經(jīng)網(wǎng)絡(luò)的對抗性攻擊

Tang等[79]探討了多層次圖池化（HGP）神經(jīng)網(wǎng)絡(luò)的脆弱性，提出了對基于多層次GCN的圖分類模型的對抗攻擊。多層次GCN圖分類模型中的多層次池化算子傾向于保留對圖分類更重要的節(jié)點，作者利用一個卷積算子和池化算子構(gòu)建代理模型，并將其池化算子保留的節(jié)點設(shè)置為攻擊目標(biāo)，基于梯度方法添加/刪除連邊或修改節(jié)點特征以產(chǎn)生對抗樣本，從而欺騙多層GCN中的池化算子，使其保留錯誤節(jié)點。在擾動的隱蔽性層面，作者通過編輯距離[80]與二階DELTACON0圖距離[81]限制在圖結(jié)構(gòu)上的擾動，并以L1范數(shù)對節(jié)點特征擾動加以限制。

3.3.3 PA后門攻擊

Zhang等[82]針對基于GNN的圖分類提出了一種基于子圖的黑盒后門攻擊，生成隨機子圖作為后門觸發(fā)器，具體使用4個參數(shù)設(shè)定后門攻擊：①設(shè)置子圖節(jié)點數(shù)目作為觸發(fā)器大?。虎谧訄D中連邊總數(shù)與節(jié)點對數(shù)的比值為觸發(fā)器密度；③采用優(yōu)先依附模型生成具有與真實圖相似冪律分布的后門觸發(fā)器；④以測試圖被毒化的分?jǐn)?shù)作為中毒強度。一旦攻擊者向測試圖注入一個預(yù)定義的后門觸發(fā)器，GNN分類器就會預(yù)測攻擊者為測試圖選擇的目標(biāo)類標(biāo)。

3.3.4 GTA

3.4 社區(qū)檢測攻擊

3.4.1 Q-Attack

3.4.2 EPA

3.4.3 EDA

Yu等[85]提出了一種新的無監(jiān)督網(wǎng)絡(luò)嵌入攻擊策略EDA，以嵌入向量間的歐幾里得距離為參考，采用遺傳算法（GA）尋找EDA的最優(yōu)解。EDA算法由3部分組成：網(wǎng)絡(luò)編碼、適應(yīng)度選擇、交叉和變異操作。①選擇翻轉(zhuǎn)后的連邊作為基因，基因的組合作為個體，表示對抗性擾動的不同解，不同的個體組成一個種群；②通過攻擊獲取嵌入空間中向量歐幾里得距離的相對變化，并通過所提出的自適應(yīng)度函數(shù)計算個體的適應(yīng)度；③選擇適應(yīng)度較高的個體作為親本，通過交叉和變異操作產(chǎn)生新的個體，最終實現(xiàn)對圖數(shù)據(jù)的攻擊。

3.4.4 CD-Attack

圖9 不相等交叉示意

Figure 9 Illustration of non-equal crossover operation

3.4.5 DICE

4 面向圖神經(jīng)網(wǎng)絡(luò)的防御方法

上文以不同攻擊目標(biāo)任務(wù)為分類標(biāo)準(zhǔn)，詳細(xì)介紹了現(xiàn)有圖神經(jīng)網(wǎng)絡(luò)攻擊技術(shù)，本節(jié)以不同的防御策略作為分類標(biāo)準(zhǔn)，將現(xiàn)有的面向圖神經(jīng)網(wǎng)絡(luò)防御方法分為：對抗性訓(xùn)練、對抗性擾動檢測、啟發(fā)式防御、圖純化防御和注意力機制。本節(jié)按照上述分類標(biāo)準(zhǔn)對現(xiàn)有圖神經(jīng)網(wǎng)絡(luò)防御方法進(jìn)一步展開，并詳細(xì)介紹部分面向圖神經(jīng)網(wǎng)絡(luò)的魯棒性分析方法。一些經(jīng)典的防御方法如表3所示。

4.1 對抗性訓(xùn)練

4.1.1 BVAT

4.1.2 GCN-GATV

Feng等[46]提出圖對抗訓(xùn)練（GAT）的方法以及GAT的擴展GATV。GAT的每次迭代可以看作在進(jìn)行一個極小極大的博弈：①從干凈樣本中生成圖的對抗性擾動，最大限度地破壞連接節(jié)點之間的平滑性；②增加一個正則化器，通過激勵對抗樣本和對應(yīng)干凈樣本預(yù)測結(jié)果之間的平滑性來最小化圖神經(jīng)網(wǎng)絡(luò)在圖對抗樣本上的目標(biāo)函數(shù)，提升模型對于通過圖傳播擾動的魯棒性。

與GAT相比，GATV可以看作3個玩家共同玩兩個極大極小游戲，在訓(xùn)練目標(biāo)函數(shù)中額外加入一個虛擬對抗正則化器。當(dāng)圖對抗性擾動是輸入特征變化的方向時，可以最大限度地攻擊圖對抗性正則化器，通過在當(dāng)前的模型參數(shù)下最大化圖對抗正則化器來生成虛擬對抗樣本，平滑每個干凈樣本周圍的預(yù)測分布，進(jìn)一步增強模型的魯棒性。

4.1.3 平滑防御

表3 防御方法分類

圖10 BVAT擾動示意

Figure 10 Illustration of perturbations for BVAT

4.1.4 S/DVAT

Sun等[48]指出，GCN中的參數(shù)更新僅來自標(biāo)記節(jié)點，缺乏對未標(biāo)記數(shù)據(jù)的利用。作者將基于標(biāo)記和未標(biāo)記數(shù)據(jù)的虛擬對抗訓(xùn)練（VAT）應(yīng)用在GCN的損失函數(shù)上，對稀疏特征與稠密特征進(jìn)行了虛擬對抗擾動，提出GCNSVAT與GCNDVAT算法來提高GCN的局部平滑性。

他們對GCN的局部頻譜卷積的一階逼近進(jìn)行了重點分析，并在GCN的基本損失函數(shù)上添加虛擬對抗損失，形成了GCNVAT算法。在此基礎(chǔ)上，根據(jù)節(jié)點特征的稀疏特性，GCNSVAT對每個節(jié)點的特定稀疏元素進(jìn)行虛擬對抗擾動，而GCNDVAT將稀疏特征矩陣轉(zhuǎn)換為稠密特征矩陣來擾動每一個特征元素。實驗表明，經(jīng)過虛擬對抗訓(xùn)練的GCN模型的性能得到了進(jìn)一步的提升。

4.1.5 Graph Defense

4.2 對抗性擾動檢測

此類方法通過研究對抗性樣本和干凈樣本之間的差異來對對抗性擾動進(jìn)行檢測。

4.2.1 KL散度差異檢測

4.2.2 GraphSAC

Ioannidis等[90]提出的GraphSAC隨機繪制節(jié)點子集，依賴于圖感知標(biāo)準(zhǔn)，在使用半監(jiān)督學(xué)習(xí)（SSL）模塊估計每個節(jié)點的標(biāo)稱類標(biāo)分布之前過濾掉被異常節(jié)點污染的集合。由于每次繪制的復(fù)雜性與連邊的數(shù)量呈線性增長關(guān)系，GraphSAC通過限定所需的繪制數(shù)量，實現(xiàn)高效的SSL。

圖11展示了GraphSAC的運作過程，第一行表示可用的圖和類標(biāo)。第二行表示采樣的類標(biāo)。第三行的SSL模塊包含輸出預(yù)測類標(biāo)。第四行的綠色虛線表示分類不正確的節(jié)點。第五行的過濾器判斷損失函數(shù)是否包含異常。第六行的紅色框表示含有大量錯誤分類節(jié)點的預(yù)測被丟棄。最后通過結(jié)合來自干凈子集的預(yù)測結(jié)果來檢測異常。

4.3 啟發(fā)式防御

Zhou等[91]為了提高基于相似性的鏈路預(yù)測的魯棒性，提出一種新的方法來準(zhǔn)確地度量被查詢連邊的存在可能。他們定義分析者（防御者）與攻擊者兩個概念，將分析者和攻擊者之間的交互建模為一個非零和的貝葉斯Stackelberg博弈，分析者首先提交一組可靠的查詢，攻擊者在觀察分析者的決策后選擇要刪除的連邊集。文章提出了兩種防御方法。①獨立損傷優(yōu)化IDOpt：將防御者的問題表示為可利用標(biāo)準(zhǔn)技術(shù)線性化的非線性整數(shù)規(guī)劃，利用其解得到在獨立損傷近似下的防御者對稱度量最優(yōu)；②獨立損害排序IDRank：根據(jù)累積損害對每個連邊的重要性進(jìn)行排序，避免了優(yōu)化問題，顯著提高了可伸縮性。

4.4 圖純化防御

圖11 GraphSAC的運作過程

Figure 11 OperationprocessofGraphSAC

4.5 注意力機制

4.5.1 PA-GNN

4.5.2 RGCN

Zhu等[52]提出一種魯棒的圖神經(jīng)網(wǎng)絡(luò)RGCN，不同于以往的GCN，RGCN采用高斯分布替代特征向量作為每個卷積層中節(jié)點的隱藏表示。當(dāng)圖受到攻擊時，RGCN可以自動地吸收高斯分布的方差變化帶來的不利影響。為了彌補對抗性攻擊在GCN中的傳播，RGCN使用一種基于方差的注意機制，在執(zhí)行卷積時根據(jù)節(jié)點鄰域的方差分配不同的權(quán)值。在以前的GCN中，當(dāng)一個節(jié)點受到攻擊時，這種對抗效應(yīng)會通過卷積傳播到它的鄰居，從而影響圖數(shù)據(jù)的很大一部分。在RGCN中，由于被攻擊的節(jié)點對其他節(jié)點的影響往往方差較大，權(quán)值較小，這種傳播的影響會大大降低。

圖12 PA-GNN的整體框架

Figure 12 Overall framework of PA-GNN

4.6 面向圖神經(jīng)網(wǎng)絡(luò)的魯棒性分析

圖神經(jīng)網(wǎng)絡(luò)的魯棒性分析屬于圖神經(jīng)網(wǎng)絡(luò)防御研究的一個方向，差別在于圖神經(jīng)網(wǎng)絡(luò)的魯棒性分析對模型或數(shù)據(jù)安全給出了更多的理論性分析與評估。本節(jié)對幾種有效的圖神經(jīng)網(wǎng)絡(luò)魯棒性分析方法進(jìn)行介紹。

4.6.1 VPN

Jin等[53]強調(diào)了現(xiàn)有GCN的基本構(gòu)建塊Laplacian算子的缺陷：①空間域中信息融合范圍有限；②離群特征值會模糊稀疏狀態(tài)下的Laplacian或鄰接矩陣的頻譜，削弱有用的頻譜信號。為了提高圖頻譜特征應(yīng)對噪聲的魯棒性，他們提出了可變冪算子，它可以被看作提取隱藏在局部不規(guī)則狀態(tài)下頻譜的核函數(shù)，將GCN中的圖卷子算子替換為可變冪算子，得到可變冪網(wǎng)絡(luò)（VPN），同時學(xué)習(xí)不同距離處的特征變換函數(shù)和全局影響參數(shù)，提升圖神經(jīng)網(wǎng)絡(luò)的魯棒性。

圖13 距離為k的可變冪算子

Figure 13 A variable power of distance

4.6.2 CRIAGE

Pezeshkpour等[92]指出，大部分現(xiàn)有的嵌入方法主要側(cè)重于提高準(zhǔn)確性，而忽略了魯棒性分析和可解釋性等方面。他們針對知識圖，提出鏈路預(yù)測模型的對抗性修正方法CRIAGE，在模型重訓(xùn)練后，確定要添加到知識圖中或從中刪除的事實，從而更改目標(biāo)事實的預(yù)測。使用泰勒展開近似嵌入的變化來評估單個修改對圖的影響，確定最具影響力的預(yù)測事實，并評估模型對添加虛假事實的敏感性。為了避免對所有可能的事實進(jìn)行組合搜索，訓(xùn)練了一個網(wǎng)絡(luò)來解碼它們對應(yīng)的圖組件嵌入，使用基于梯度的優(yōu)化來識別對抗性修改。

4.6.3 AGCN

Ioannidis等[54]提出自適應(yīng)圖卷積網(wǎng)絡(luò)（AGCN），給定被擾動的無權(quán)圖，通過概率選取抖動（增加或刪除）連邊來繪制多個輔助圖，增強GCN的魯棒性。

圖14 CRIAGE的示意

Figure 14 Illustration of CRIAGE

圖15 AGCN的框架

Figure 15 The framework of AGCN

4.6.4 具有徑向基核函數(shù)的SVM

4.6.5 可訓(xùn)練鄰接矩陣

Wu等[56]指出，如GCN這類圖模型的弱點在于這些模型本質(zhì)上是根據(jù)圖結(jié)構(gòu)來聚集特征，在對目標(biāo)節(jié)點進(jìn)行預(yù)測時，此類模型嚴(yán)重依賴最近的鄰居信息。他們提出使鄰接矩陣可訓(xùn)練的防御方法，在訓(xùn)練過程中不斷學(xué)習(xí)連邊的權(quán)值，以改變攻擊者制作的對抗樣本，從而使其在普通GCN上制造的攻擊無效；根據(jù)Jaccard相似度評分度量特征的相似性，并以此觀察修改連邊/節(jié)點特征、增/刪連邊等攻擊的特征，對上述防御方法的有效性進(jìn)行了大量的理論分析。他們還提出，對圖的鄰接矩陣進(jìn)行簡單的預(yù)處理就可以識別攻擊后的連邊，通過移除連接低相似度節(jié)點的連邊，能夠在不降低GCN模型準(zhǔn)確性的情況下防御有針對性地對抗攻擊。

4.6.6 Pro-GNN

Jin等[93]指出，真實世界的圖形共享一些內(nèi)在屬性。例如，許多現(xiàn)實世界的圖是低秩和稀疏的，兩個相鄰節(jié)點的特征往往是相似的。實際上，許多對抗攻擊很可能會違反這些圖的性質(zhì)。作者應(yīng)用最先進(jìn)的圖中毒攻擊metattack來擾動圖數(shù)據(jù)并可視化metattack前后的圖屬性。

如圖16所示，在圖16(a)中，metattack放大了鄰接矩陣的奇異值，圖16(b)說明metattack快速增加了鄰接矩陣的秩。此外，當(dāng)分別從擾動圖中移除對抗邊和正常邊時，可以觀察到移除對抗邊比移除正常邊降低秩的速度更快，如圖16(c)所示。圖16(d)中描繪了受攻擊圖的連通節(jié)點特征差異的密度分布，發(fā)現(xiàn)metattack傾向于連接特征差異較大的節(jié)點。

作者進(jìn)一步提出了一個通用框架Pro-GNN，該框架可以從受這些特性指導(dǎo)的擾動圖聯(lián)合學(xué)習(xí)結(jié)構(gòu)圖和魯棒圖神經(jīng)網(wǎng)絡(luò)模型。Pro-GNN通過保持圖的低秩性、稀疏性和特征光滑性，以中毒圖為基礎(chǔ)，迭代地重構(gòu)干凈圖，并通過交替模式求解優(yōu)化問題，同時更新重構(gòu)圖上的GNN參數(shù)，減少對抗性結(jié)構(gòu)的負(fù)面影響。

4.6.7 魯棒性分析研究總結(jié)

魯棒性分析研究同樣提高了圖神經(jīng)網(wǎng)絡(luò)模型的魯棒性，這些工作更加注重模型魯棒性的理論分析。例如，通過發(fā)現(xiàn)已有GCN模型的理論缺陷[53,56]、挖掘圖對模型的作用影響[54-,55,92]和探索真實圖數(shù)據(jù)的性質(zhì)特征[89]來更深層次地研究圖神經(jīng)網(wǎng)絡(luò)的魯棒性。然而，現(xiàn)有的圖神經(jīng)網(wǎng)絡(luò)魯棒性分析研究還相對缺乏，如何更進(jìn)一步通過理論分析來解釋對抗攻擊對圖神經(jīng)網(wǎng)絡(luò)的影響，并從根本上增強圖神經(jīng)網(wǎng)絡(luò)的魯棒性，這是未來值得探索的一個方向。

圖16 對抗性攻擊導(dǎo)致鄰接矩陣屬性變化的一個示例

Figure 16 An illustrative example on the property changes of the adjacency matrix by adversarial attacks

5 數(shù)據(jù)集及評價指標(biāo)

已有的面向圖挖掘算法的對抗攻防方法研究，采用相對固定的數(shù)據(jù)集與評價指標(biāo)，方便不同方法之間的性能比較，因此本節(jié)總結(jié)了常用的數(shù)據(jù)集和評價指標(biāo)。

5.1 數(shù)據(jù)集

圖神經(jīng)網(wǎng)絡(luò)研究中常見的數(shù)據(jù)集有引文網(wǎng)絡(luò)數(shù)據(jù)集、社交網(wǎng)絡(luò)數(shù)據(jù)集、生物?化學(xué)數(shù)據(jù)集等類別的數(shù)據(jù)集。這些數(shù)據(jù)集詳細(xì)內(nèi)容及結(jié)構(gòu)如表4所示，其中，對于生物?化學(xué)數(shù)據(jù)集，本文展示了每個數(shù)據(jù)集中的平均節(jié)點數(shù)和連邊數(shù)。前4個引文數(shù)據(jù)集與PolBlogs是最常用的節(jié)點分類任務(wù)數(shù)據(jù)集，Reddit、Facebook與Google+ 數(shù)據(jù)集也被用于節(jié)點分類攻擊的工作[69,89]。此外，Cora和Citesser數(shù)據(jù)集也被文獻(xiàn)[94]應(yīng)用到鏈路預(yù)測攻擊問題中。由于存在多種大小的Facebook數(shù)據(jù)集，表4中省略了它的統(tǒng)計數(shù)據(jù)[95-103]。Email、Dolphin、Karate和Football數(shù)據(jù)集常出現(xiàn)在社區(qū)檢測任務(wù)[26,37]中。生物?化學(xué)數(shù)據(jù)集通常包含多個圖，因此被廣泛應(yīng)用于圖分類任務(wù)。

5.2 評價指標(biāo)

圖分析、對抗攻擊或防御方法的效果需要通過不同的評價指標(biāo)來衡量。本節(jié)首先介紹了圖分析任務(wù)中的常用指標(biāo)，隨后從對抗攻擊效果、攻擊隱蔽性和防御性能3個角度介紹了攻防工作中提出的一些新的度量標(biāo)準(zhǔn)。

5.2.1 圖分析任務(wù)中的常用指標(biāo)

圖神經(jīng)網(wǎng)絡(luò)的下游任務(wù)大多以分類問題為主，如節(jié)點分類、圖分類。若把連邊的存在情況視為連邊類標(biāo)，鏈路預(yù)測任務(wù)也可以歸為分類問題。分類問題通常是一個二類或多類分類問題?，F(xiàn)有的基于準(zhǔn)確度的度量方法如準(zhǔn)確率、F1評分、AUC等是從不同的角度反映分類精度的。本節(jié)介紹常用的幾種不同的準(zhǔn)確度指標(biāo)。

表4 數(shù)據(jù)集內(nèi)容

注：NC（node classification）；LP（link prediction）；CD（community detection）；GC（graph classification）

準(zhǔn)確度（Accuracy）：該領(lǐng)域研究中較為常見的技術(shù)指標(biāo)，它表示正確的預(yù)測占所有實例的百分比。

1-score：分類問題的一個衡量指標(biāo)，為精密度precision和召回率recall的調(diào)和平均數(shù)。

5.2.2 對抗攻擊評價指標(biāo)

誤分類率為對抗攻擊評價的最直接體現(xiàn)，反映了攻擊對目標(biāo)模型性能的下降程度。為了從不同角度衡量圖神經(jīng)網(wǎng)絡(luò)的攻擊性能，已有的工作在圖數(shù)據(jù)的攻擊中提出或使用了以下評價指標(biāo)。

平均修改連邊數(shù)（AML，average modified links）[24]：描述攻擊模型成功時，網(wǎng)絡(luò)的平均修改的連邊數(shù)，即攻擊成功所需要付出的代價。

分類裕度（CM，classification margin）[28]：體現(xiàn)了模型錯誤分類目標(biāo)節(jié)點并且到正確類別邊界具有的最大距離。

平均最壞情況裕度（AWM，averaged worst- case margin）：最壞情況裕度（WM，worst case margin）是分類裕度的最小值[104]，WM的平均值是在訓(xùn)練過程中對一小批節(jié)點進(jìn)行動態(tài)計算得到的。

魯棒性能（RM，robustness merit）[71]：計算GNN攻擊前/后的精度差值，對模型的魯棒性進(jìn)行評價。

攻擊惡化（AD，attack deterioration）[53]：評估對預(yù)測模型的攻擊效果，由于GNN的空間范圍限制，任何添加/刪除的邊只能影響原始網(wǎng)絡(luò)中空間范圍內(nèi)的節(jié)點。

5.2.3 隱蔽性評價指標(biāo)

圖結(jié)構(gòu)具有離散性，因此無法使用圖像領(lǐng)域中的評價指標(biāo)來衡量無窮小的細(xì)微變化。為了確保在圖數(shù)據(jù)上的攻擊是不容易覺察的，已有工作提出了幾種擾動隱蔽性評價指標(biāo)來衡量對抗擾動的大小。

5.2.4 防御方法評價指標(biāo)

為了檢驗圖神經(jīng)網(wǎng)絡(luò)防御方法的效果，研究人員提出了以下幾種防御性能評價指標(biāo)。

平均防御率（ADR，average defense rate）[47]：表示為有/無防御情況下ASR的差值與無防御下ASR的比值。ADR值越大，防御效果越好。

平均置信度差（ACD，average confidence different）[47]：表示節(jié)點在攻擊前/后的平均置信度差。

損害預(yù)防率（DPR，damage prevention rate）[91]：用于評估防御方法可以容忍的攻擊數(shù)量。

6 未來的研究方向

上文全面回顧了近年來關(guān)于圖神經(jīng)網(wǎng)絡(luò)對抗攻擊與防御的方法，詳細(xì)描述了現(xiàn)有的攻防技術(shù)細(xì)節(jié)。本節(jié)就圖神經(jīng)網(wǎng)絡(luò)未來的研究方向做出更多一般性的討論。

6.1 攻擊方法

攻擊隱蔽性：本文總結(jié)的針對圖神經(jīng)網(wǎng)絡(luò)的對抗攻擊方法主要利用圖數(shù)據(jù)和模型的信息來修改圖的結(jié)構(gòu)或節(jié)點屬性，通過添加擾動使圖神經(jīng)網(wǎng)絡(luò)模型失效。由于在修改圖結(jié)構(gòu)時可能會將兩個完全無關(guān)節(jié)點相連或產(chǎn)生孤立節(jié)點，且在網(wǎng)絡(luò)結(jié)構(gòu)稀疏的情況下修改連邊容易被察覺，此類攻擊方法存在隱蔽性不強的問題。如何以更隱蔽的方式和更小的代價對圖神經(jīng)模型進(jìn)行有效攻擊是未來可以研究的方向之一。

攻擊效率：現(xiàn)有的圖神經(jīng)網(wǎng)絡(luò)攻擊方法常用的數(shù)據(jù)集為Cora與Citeseer，兩者都是小規(guī)模圖，當(dāng)面對大規(guī)模圖時，現(xiàn)有的方法往往很難高效率地實現(xiàn)攻擊。在大規(guī)模圖中，如何篩選出與攻擊目標(biāo)高度相關(guān)的圖信息，僅利用少量信息實現(xiàn)對整個圖的有效攻擊，同樣是未來值得思考的。

攻擊可行性：從表2可以看出，大部分現(xiàn)有的攻擊算法是基于攻擊者對目標(biāo)模型與數(shù)據(jù)有完備知識條件下建立的，屬于白盒或灰盒攻擊，而真正的黑盒攻擊相對較為缺乏。除此之外，在很多場景下，如社交網(wǎng)絡(luò)的攻擊，修改已有連邊與節(jié)點屬性是難以實現(xiàn)的。這些問題可以歸結(jié)為攻擊在實際場景下的可行性。在未來的研究中，可以將重心放在如何利用圖的某個部分訓(xùn)練一個替代模型，學(xué)習(xí)對圖數(shù)據(jù)攻擊的一般模式，以避開攻擊的知識背景限制，并實現(xiàn)更符合真實應(yīng)用場景的攻擊策略上。

6.2 防御方法

防御任務(wù)多樣化：針對圖神經(jīng)網(wǎng)絡(luò)的防御方法通過對抗性訓(xùn)練、對抗性擾動檢測、啟發(fā)式防御、圖純化防御或引入注意力機制等多種手段進(jìn)行，從表3可以看出，大多數(shù)方法針對節(jié)點分類任務(wù)進(jìn)行防御。研究對其他圖神經(jīng)網(wǎng)絡(luò)下游任務(wù)的防御，或研究現(xiàn)有防御方法在其他任務(wù)中的可遷移性是研究人員未來值得考慮的方向。

防御可行性：防御成本可以作為圖神經(jīng)網(wǎng)絡(luò)防御方法可行性分析的一個指標(biāo)，現(xiàn)有的防御方法大多關(guān)注提高模型的防御能力，而忽略了對防御成本的研究。在現(xiàn)實場景應(yīng)用中，大規(guī)模的圖數(shù)據(jù)將為高成本的防御方法帶來嚴(yán)峻的挑戰(zhàn)。通過更多的魯棒性理論分析，研究在低防御成本下實現(xiàn)高效的防御，提高防御方法的可行性，這也是一個有價值的研究方向。

7 結(jié)束語

圖神經(jīng)網(wǎng)絡(luò)是處理圖數(shù)據(jù)的主要方法之一。隨著圖神經(jīng)網(wǎng)絡(luò)在具有不規(guī)則空間結(jié)構(gòu)的圖數(shù)據(jù)（如社交網(wǎng)絡(luò)、知識圖譜等）處理中得到廣泛應(yīng)用，圖神經(jīng)網(wǎng)絡(luò)的安全問題逐漸成為研究熱點。本文總結(jié)了面向圖神經(jīng)網(wǎng)絡(luò)的對抗攻擊、防御方法和相應(yīng)的評價指標(biāo)，綜述了圖神經(jīng)模型的魯棒性分析方法。分別總結(jié)了當(dāng)前圖神經(jīng)網(wǎng)絡(luò)攻防方法的局限性，并對未來的研究方向進(jìn)行討論。最后，通過引用的參考文獻(xiàn)為本課題的研究指明更廣闊的前景。

[1]DENG L, LIU Y. A joint introduction to natural language processing and to deep learning[C]//Deep Learning in Natural Language Processing. Springer, Singapore, 2018: 1-22.

[2]COLLOBERT R, WESTON J, BOTTOU L, et al. Natural language processing (almost) from scratch[J]. Journal of Machine Learning Research, 2011, 12(8): 2493-2537.

[3]XIONG W, DROPPO J, HUANG X, et al. Achieving human parity in conversational speech recognition[J]. arXiv Preprint Arxiv: 1610.05256, 2016.

[4]LITJENS G, KOOI T, BEJNORDI B E, et al. A survey on deep learning in medical image analysis[J]. Medical Image Analysis, 2017, 42: 60-88.

[5]MOUSAVI A, BARANIUK R G. Learning to invert: signal recovery via deep convolutional networks[C]//2017 IEEE International Conference on Acoustics, Speech and Signal Processing (ICASSP). 2017: 2272-2276.

[6]KRISHNAMURTHY B, SARKAR M. Deep-learning network architecture for object detection: U.S. Patent 10,152,655[P]. 2018-12-11.

[7]GOYAL P, FERRARA E. Graph embedding techniques, applications, and performance: a survey[J]. Knowledge-Based Systems, 2018, 151: 78-94.

[8]FRASCONI P, GORI M, SPERDUTI A. A general framework for adaptive processing of data structures[J]. IEEE Transactions on Neural Networks, 1998, 9(5): 768-786.

[9]SPERDUTI A, STARITA A. Supervised neural networks for the classification of structures[J]. IEEE Transactions on Neural Networks, 1997, 8(3): 714-735.

[10]GORI M, MONFARDINI G, SCARSELLI F. A new model for learning in graph domains[C]//2005 IEEE International Joint Conference on Neural Networks. 2005: 729-734.

[11]SCARSELLI F, GORI M, TSOI A C, et al. The graph neural network model[J]. IEEE Transactions on Neural Networks, 2008, 20(1): 61-80.

[12]BRUNA J, ZAREMBA W, SZLAM A, et al. Spectral networks and locally connected networks on graphs[C]//2nd International Conference on Learning Representations. 2014.

[13]DEFFERRARD M, BRESSON X,VANDERGHEYNST P. Convolutional neural networks on graphs with fast localized spectral filtering[C]//Advances in Neural Information Processing Systems 29. 2016: 3837-3845.

[14]VELI?KOVI? P, CUCURULL G, CASANOVA A, et al. Graph attention networks[J]. arXiv preprint arXiv:1710.10903, 2017.

[15]CAO S, LU W, XU Q. Deep neural networks for learning graph representations[C]// Proceedings of the 30th AAAI Conference on Artificial Intelligence. 2016: 1145-1152.

[16]KIPF T N, WELLING M. Variational graph auto-encoders[J]. arXiv preprint arXiv:1611.07308, 2016.

[17]TANG J, QU M, MEI Q. Pte: Predictive text embedding through large-scale heterogeneous text networks[C]//Proceedings of the 21th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining. 2015: 1165-1174.

[18]WANG S, TANG J, AGGARWAL C, et al. Linked document embedding for classification[C]// Proceedings of the 25th ACM International on Conference on Information and Knowledge Management. 2016: 115-124.

[19]PEROZZI B, AL-RFOU R, SKIENA S. Deepwalk: Online learning of social representations[C]//Proceedings of the 20th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining. 2014: 701-710.

[20]WANG S, TANG J, AGGARWAL C, et al. Signed network embedding in social media[C]//Proceedings of the 2017 SIAM International Conference on Data Mining. 2017: 327-335.

[21]TIAN F, GAO B, CUI Q, et al. Learning deep representations for graph clustering[C]//Proceedings of the Twenty-Eighth AAAI Conference on Artificial Intelligence. 2014: 1293-1299.

[22]ALLAB K, LABIOD L, NADIF M. A semi-NMF-PCA unified framework for data clustering[J]. IEEE Transactions on Knowledge and Data Engineering, 2016, 29(1): 2-16.

[23]LEE J B, ROSSI R, KONG X. Graph classification using structural attention[C]//Proceedings of the 24th ACM SIGKDD International Conference on Knowledge Discovery. 2018: 1666-1674.

[24]PEI Y, CHAKRABORTY N, SYCARA K. Nonnegative matrix tri-factorization with graph regularization for community detection in social networks[C]//Proceedings of the Twenty-Fourth International Joint Conference on Artificial Intelligence. 2015: 2083-2089.

[25]CHEN L, LIU Y, ZHENG Z, et al.Heterogeneous neural attentive factorization machine for rating prediction[C]//Proceedings of the 27th ACM International Conference on Information and Knowledge Management. 2018: 833-842.

[26]XIE F, CHEN L, YE Y, ET AL.Factorization machine based service recommendation on heterogeneous information networks[C]//2018 IEEE International Conference on Web Services, ser. ICWS ’18. 2018: 115-122.

[27]WANG J, HUANG P, ZHAO H, et al. Billion-scale commodity embedding for e-commerce recommendation in Alibaba[C]//Proceedings of the 24th ACM SIGKDD International Conference on Knowledge Discovery & Data Mining, ser. KDD ’18. 2018: 839-848.

[28]ZüGNER D, AKBARNEJAD A, AND GüNNEMANN S. Adversarial attacks on neural networks for graph data[C]//Proceedings of the 24th ACM SIGKDD International Conference on Knowledge Discovery & Data Mining, ser. KDD ’18. 2018: 2847C2856.

[29]DAI H, LI H, TIAN T, et al. Adversarial attack on graph structured data[C]//Proceedings of the 35th International Conference on Machine Learning, ser. ICML ’18. 2018: 1123-1132.

[30]WANG X, EATON J, HSIEH C J, et al. Attack graph convolutional networks by adding fake nodes[J]. arXiv preprint arXiv:1810.10751, 2018.

[31]ZHOU K, MICHALAK T P, WANIEK M, et al. Attacking similarity-based link prediction in social networks[C]//Proceedings of the 18th International Conference on Autonomous Agents and MultiAgent Systems, ser. AAMAS ’19. 2019: 305-313.

[32]BOJCHEVSKI A AND GüNNEMANN S. Adversarial attacks on node embeddings via graph poisoning[C]//Proceedings of the 36th International Conference on Machine Learning, ICML 2019. 2019: 695-704.

[33]SUN Y, WANG S, TANG X, et al. Node injection attacks on graphs via reinforcement learning[J]. arXiv preprint arXiv:1909.06543, 2019.

[34]CHEN J, WU Y, XU X, et al. Fast gradient attack on network embedding[J]. arXiv preprint arXiv:1809.02797, 2018.

[35]CHEN J, LIN X, SHI Z, et al. Link prediction adversarial attack via iterative gradient attack[J]. IEEE Transactions on Computational Social Systems, 2020, 7(4): 1081-1094.

[36]CHEN J, CHEN L, CHEN Y, et al. Ga-based Q-attack on community detection[J]. IEEE Transactions on Computational Social Systems, 2019, 6(3): 491-503.

[37]CHEN J, CHEN Y, CHEN L, et al. Multiscale evolutionary perturbation attack on community detection[J]. IEEE Transactions on Computational Social Systems, 2021, 8(1): 62-75.

[38]CHANG H, RONG Y, XU T, et al. A restricted black-box adversarial framework towards attacking graph embedding models[C]//Proceedings of the AAAI Conference on Artificial Intelligence. 2020: 3389-3396.

[39]MA Y, WANG S, WU L, et al. Attacking graph convolutional networks via rewiring[J]. arXiv preprint arXiv:1906.03750, 2019.

[40]ZüGNER D AND GüNNEMANN S. Adversarial attacks on graph neural networks via meta learning[C]//7th International Conference on Learning Representations, ser. ICLR ’19. 2019.

[41]SUN M, TANG J, LI H, et al. Data poisoning attack against unsupervised node embedding methods[J]. arXiv preprint arXiv:1810.12881, 2018.

[42]WANIEK M, ZHOU K, VOROBEYCHIK Y, et al. Attack tolerance of link prediction algorithms: How to hide your relations in a social network[J]. arXiv preprint arXiv:1809.00152, 2018.

[43]FARD A M, WANG K, AND YU P. Limiting link disclosure in social network analysis through subgraph-wise perturbation[C]// 15th International Conference on Extending Database Technology, ser. EDBT ’12. 2012: 109-119.

[44]FARD A AND WANG K. Neighborhood randomization for link privacy in social network analysis[J]. World Wide Web, 2015, 18(1): 9-32.

[45]LI J, ZHANG H, HAN Z, et al. Adversarial attack on community detection by hiding individuals[C]//WWW ’20: The Web Conference 2020. 2020: 917-927.

[46]FENG F, HE X, TANG J, et al. Graph adversarial training: Dynamically regularizing based on graph structure[J]. IEEE Transactions on Knowledge and Data Engineering. 2019.

[47]CHEN J, LIN X, XIONG H, et al. Smoothing adversarial training for gnn[J]. IEEE Transactions on Computational Social Systems, 2020.

[48]SUN K, LIN Z, GUO H, Et al. Virtual adversarial training on graph convolutional networks in node classification[C]//Pattern Recognition and Computer Vision - Second Chinese Conference, PRCV 2019. 2019: 431-443.

[49]ZHANG Y, KHAN S, AND COATES M. Comparing and detecting adversarial attacks for graph deep learning[C]//Proc Representation Learning on Graphs and Manifolds Workshop, Int Conf Learning Representations. 2019.

[50]ENTEZARI N, AL-SAYOURI S A, DARVISHZADEH A, et al. All you need is low (rank): Defending against adversarial attacks on graphs[C]//WSDM ’20: The Thirteenth ACM International Conference on Web Search and Data Mining. 2020: 169-177.

[51]TANG X, LI Y, SUN Y, et al. Transferring robustness for graph neural network against poisoning attacks[C]//WSDM ’20: The Thirteenth ACM International Conference on Web Search and Data Mining. 2020: 600-608.

[52]ZHU D, ZHANG Z, CUI P, et al. Robust graph convolutional networks against adversarial attacks[C]//Proceedings of the 25th ACM SIGKDD International Conference on Knowledge Discovery & Data Mining. 2019: 1399-1407.

[53]JIN M, CHANG H, ZHU W, ET AL. Power up! robust graph convolutional network against evasion attacks based on graph powering[J]. arXiv preprint arXiv:1905.10029, 2019.

[54]IOANNIDIS V N AND GIANNAKIS G B. Edge dithering for robust adaptive graph convolutional networks[J]. arXiv preprint arXiv:1910.09590, 2019.

[55]MILLER B A, ?AMURCU M, GOMEZ A J, et al. Improving robustness to attacks against vertex classification[C]//15th International Workshop on Mining and Learning with Graphs. 2019.

[56]WU H, WANG C, TYSHETSKIY Y, et al. Adversarial examples for graph data: Deep insights into attack and defense[C]//Proceedings of the Twenty-Eighth International Joint Conference on Artificial Intelligence. 2019: 4816-4823.

[57]JIN W, LI Y, XU H, et al. Adversarial attacks and defenses on graphs: a review and empirical study[J]. arXiv preprint arXiv:2003.00653, 2020.

[58]SUN L, DOU Y, YANG C, et al. Adversarial attack and defense on graph data: A survey[J]. arXiv preprint arXiv:1812.10528, 2018.

[59]CHEN L, LI J, PENG J, et al. A survey of adversarial learning on graph[J]. arXiv preprint arXiv: 2003.05730, 2020.

[60]DOMENICO M, LIMA A, MOUGEL P, et al. The anatomy of a scientific rumor[J]. Scientific Reports, 2013, 3(10): 65.

[61]LESKOVEC J, KLEINBERG J, FALOUTSOS C. Graph evolution: Densification and shrinking diameters[J]. ACM Transactions on Knowledge Discovery from Data (TKDD). 2006,1.

[62]LI Y, YU R, SHAHAB CI, et al. Diffusion convolutional recurrent neural network: Data-driven traffic forecasting[C]//6th International Conference on Learning Representations. 2018.

[63]GONG Y, ZHU Y, DUAN L, et al.Exact-k recommendation via maximal clique optimization[C]//Proceedings of the 25th ACM SIGKDD International Conference on Knowledge Discovery & Data Mining, KDD 2019. 2019: 617-626.

[64]TANG J, ZHANG J, YAO L, et al.Arnetminer: extraction and mining of academic social networks[C]//Proceedings of the 14th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining. 2008: 990-998.

[65]ADAMIC L A AND GLANCE N. The political blogosphere and the 2004 us election: divided they blog[C]//Proceedings of the 3rd International Workshop on Link Discovery. 2005: 36-43.

[66]DEBNATH A K, COMPADRE R L, DEBNATH G, et al. Structure-activity relationship of mutagenic aromatic and heteroaromatic nitro compounds. correlation with molecular orbital energies and hydrophobicity[J]. Journal of Medicinal Chemistry, 1991, 34(2): 786-797.

[67]GOODFELLOW I, POUGET-ABADIE J, MIRZA M, et al. Generative adversarial nets[C]//Advances in Neural Information Processing Systems 27: Annual Conference on Neural Information Processing Systems 2014. 2014: 2672-2680.

[68]KIPF T N, WELLING M. Semi-supervised classification with graph convolutional networks[C]//International Conference on Learning Representations, ser. ICLR ’17. 2017.

[69]WANG B AND GONG N. Attacking graphbased classification via manipulating the graph structure[C]//Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security. 2019: 2023-2040.

[70]AVISHEK J, CIANFLFLONE A, HAMILTION W. Generalizable adversarial attacks using generative models[J].arXiv preprint arXiv:1905.10864, 2019.

[71]WU H, WANG C, TYSHETSKIY Y,et al. Adversarial examples for graph data: deep insights into attack and defense[C]//Proceedings of the Twenty-Eighth International Joint Conference on Artificial Intelligence, IJCAI 2019. 2019: 4816-4823.

[72]XU K, CHEN H, LIU S, et al. Topology attack and defense for graph neural networks: An optimization perspective[C]//Proceedings of the Twenty-Eighth International Joint Conference on Artificial Intelligence, IJCAI 2019. 2019: 3961-3967.

[73]ZANG X, XIE Y, CHEN J,et al. Graph universal adversarial attacks: A few bad actors ruin graph learning models[J]. arXiv preprint arXiv:2002.04784, 2020.

[74]TAKAHASHI T. Indirect adversarial attacks via poisoning neighbors for graph convolutional networks[C]//2019 IEEE International Conference on Big Data (Big Data). 2019: 1395-1400.

[75]CHEN J, CHEN Y, ZHENG H, et al.Mga: Momentum gradient attack on network[J]. arXiv preprint arXiv:2002.11320, 2020.

[76]WANIEK M, ZHOU K, VOROBEYCHIK Y, et al. Attack tolerance of link prediction algorithms: How to hide your relations in a social network[J].arXiv preprint arXiv:1809.00152, 2018.

[77]QIU J, DONG Y, MA H, et al. Network embedding as matrix factorization[C]//Proceedings of the Eleventh ACM International Conference on Web Search and Data Mining, WSDM 2018. 2018: 459-467.

[78]CHEN J, ZHANG J, CHEN Z, et al. Time-aware gradient attack on dynamic network link prediction[J]. arXiv preprint arXiv: 1911.10561, 2019.

[79]TANG H, MA G, CHEN Y, et al. Adversarial attack on hierarchical graph pooling neural networks[J]. arXiv preprint arXiv:2005.11560, 2020.

[80]BáLEK M, GOODALL A. Large networks and graph limits[J]. Comput Sci Rev, 2013, 10: 35-46.

[81]FALOUTSOS C, KOUTRA D, VOGELSTEIN J.Deltacon: A principled massive-graph similarity function[C]//Proceedings of the 13th SIAM International Conference on Data Mining. 2013: 162-170.

[82]ZHANG Z, JIA J, WANG B,et al. Backdoor attacks to graph neural networks[J]. arXiv preprint arXiv:2006.11165, 2020.

[83]XI Z, PANG R, JI S, et al. Graph backdoor[C]//USENIX Security. 2021.

[84]CORDELLA L, FOGGIA P, SANSONE C, et al. A (sub)graph isomorphism algorithm for matching large graphs[J]. IEEE Transactions on Pattern Analysis and Machine Intelligence, 2004, 26(10): 1367-1372.

[85]YU S, ZHENG J, CHEN J, et al. Unsupervised euclidean distance attack on network embedding[C]//5th IEEE International Conference on Data Science in Cyberspace. 2020: 71-77.

[86]LI J, ZHANG H, HAN Z, et al. Adversarial attack on community detection by hiding individuals[C]//WWW ’20: The Web Conference 2020. 2020: 917-927.

[87]WANIEK M, MICHALAK T, WOOLDRIDGE M, et al. Hiding individuals and communities in a social network[J]. Nature Human Behaviour, 2018, 2(2): 139-147.

[88]DENG Z, DONG Y, ZHU J. Batch virtual adversarial training for graph convolutional networks[J]. arXiv preprint arXiv:1902.09192, 2019.

[89]WANG X, LIU X, HSIEH C. Graphdefense: Towards robust graph convolutional networks[J]. arXiv preprint arXiv:1911.04429, 2019.

[90]IOANNIDIS V, BERBERIDIS D, AND GIANNAKIS B. Graphsac: Detecting anomalies in large-scale graphs[J]. arXiv preprint arXiv: 1910.09589, 2019.

[91]ZHOU K, MICHALAK T, VOROBEYCHIK Y, et al. Adversarial robustness of similarity-based link prediction[J]. arXiv preprint arXiv:1909.01432, 2019.

[92]PEZESHKPOUR P, IRVINE C, TIAN Y, et al. Investigating robustness and interpretability of link prediction via adversarial modifications[C]//Proceedings of the 2019 Conference of the North American Chapter of the Association for Computational Linguistics: Human Language Technologies. 2019: 3336-3347.

[93]JIN W, MA Y, LIU X, et al.Graph structure learning for robust graph neural networks[C]//KDD ’20: The 26th ACM SIGKDD Conference on Knowledge Discovery and Data Mining, Virtual Even. 2020: 66-74.

[94]SUN M, TANG J, LI H, et al. Data poisoning attack against unsupervised node embedding methods[J]. arXiv preprint arXiv: 1810.12881, 2018.

[95]SEN P, NAMATA G, BILGIC M, et al. Collective classification in network data[J]. AI Magazine, 2008, 29(3): 93.

[96]MCCALLUM A, NIGAM K, RENNIE J, et al. Automating the construction of internet portals with machine learning[J]. Information Retrieval, 2000, 3(2): 127-163.

[97]HAMILTON W, YING Z, AND LESKOVEC J. Inductive representation learning on large graphs[C]//Advances in Neural Information Processing Systems 30: Annual Conference on Neural Information Processing Systems 2017. 2017: 1024-1034.

[98]LUSSEAU D, SCHNEIDER K, BOISSEAU O, et al. The bottlenose dolphin community of doubtful sound features a large proportion of long-lasting associations[J]. Behavioral Ecology and Sociobiology, 2003, 54(4): 396-405.

[99]ZACHARY W. An information flow model for conflict and fission in small groups[J]. Journal of anthropological research, 1977, 33(4): 452-473.

[100]GIRVAN M AND NEWMAN M. Community structure in social and biological networks[C]//Proceedings of the National Academy of Sciences. 2002:7821-7826.

[101]BORGWARDT K, ONG C, SCHOENAUER S, et al. Protein function prediction via graph kernels[J]. Bioinformatics, 2005, 21(1): 47-56.

[102]WALE N, KARYPIS G. Comparison of descriptor spaces for chemical compound retrieval and classification[C]//Proceedings of the 6th IEEE International Conference on Data Mining (ICDM 2006). 2006: 678-689.

[103]DOBSON P, DOIG A. Distinguishing enzyme structures from non-enzymes without alignments[J]. Journal of molecular biology, 2003, 330(4): 771-783.

[104]ZUGNER D AND GUNNEMANN S. Certifiable robustness and robust training for graph convolutional networks[C]//Proceedings of the 25th ACM SIGKDD International Conference on Knowledge Discovery & Data Mining. 2019: 246-256.

Adversarial attack and defense on graph neural networks: a survey

CHEN Jinyin1,2, ZHANG Dunjie2, HUANG Guohan2, LIN Xiang2,BAO Liang3

1. Institute of Cyberspace Security, Zhejiang University of Technology, Hangzhou 310023, China 2.The College of Information Engineering, Zhejiang University of Technology, Hangzhou 310023, China 3.Key Lab of Information Network Security, Ministry of Public Security, Shanghai 200000, China

For the numerous existing adversarial attack and defense methods on GNN, the main adversarial attack and defense algorithms of GNN were reviewed comprehensively, as well as robustness analysis techniques. Besides, the commonly used benchmark datasets and evaluation metrics in the security research of GNN were introduced. In conclusion, some insights on the future research direction of adversarial attacks and the trend of development were put forward.

graph neural networks, adversarial attack, defense algorithms, robustness analysis

TP29

A

10.11959/j.issn.2096?109x.2021051

2020?07?02；

2020?10?09

鮑亮，baoliang@stars.org.cn

國家自然科學(xué)基金（62072406）；浙江省自然科學(xué)基金（LY19F020025）；信息網(wǎng)絡(luò)安全公安部重點實驗室開放課題項目（C20604）

The National Natural Science Foundation of China (62072406), The Natural Science Foundation of Zhejiang Province (LY19F020025), Key Lab of Information Network Security, Ministry of Public Security (C20604)

陳晉音, 張敦杰, 黃國瀚, 等. 面向圖神經(jīng)網(wǎng)絡(luò)的對抗攻擊與防御綜述[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2021, 7(3): 1-28.

CHEN J Y, ZHANG D J, HUANG G H, et al. Adversarial attack and defense on graph neural networks: a survey[J]. Chinese Journal of Network and Information Security, 2021, 7(3): 1-28.

陳晉音（1982? ），女，浙江象山人，博士，浙江工業(yè)大學(xué)副教授，主要研究方向為人工智能安全、圖數(shù)據(jù)挖掘和進(jìn)化計算。

張敦杰（1997? ），男，浙江蒼南人，浙江工業(yè)大學(xué)碩士生，主要研究方向為數(shù)據(jù)挖掘與應(yīng)用、智能計算。

黃國瀚（1997? ），男，浙江臺州人，浙江工業(yè)大學(xué)碩士生，主要研究方向為圖數(shù)據(jù)挖掘和人工智能安全。

林翔（1996? ），男，浙江寧波人，浙江工業(yè)大學(xué)碩士生，主要研究方向為圖數(shù)據(jù)挖掘與應(yīng)用。

鮑亮（1983? ），男，安徽壽縣人，公安部第三研究所助理研究員，主要研究方向為信息網(wǎng)絡(luò)安全、網(wǎng)絡(luò)防護技術(shù)、網(wǎng)絡(luò)攻擊數(shù)據(jù)分析。