早期的对抗训练方法主要是应用在图像,语音和文本数据。因为这些数据是连续的,对抗的样本和噪音比较容易产生。
图像有噪音扰动,图数据哪里来的扰动?
举个例子:在在线社交网络中,水军账户通过关注正常账户,发布日常内容,来降低自己在社交网络的中可疑度,从而避免被检测到而封号。这里就是水军通过产生噪音躲避封号检测的例子,说明图噪音的扰动还是很常见的。
图数据对抗攻击的定义是:给定一个图(节点和边),通过修改这个图,使得这种修改在不被察觉到情况下,能够降低算法(例如节点分类和链接预测)在图数据上面的表现。
图被修改之后带来的变化定义为扰动,即攻击者对图数据的攻击后的扰动必须满足与一些约束。
扰动类型
1.维持结构的扰动:加减节点和边会改变一些图的结构属性,例如度分布,节点中心性。
其本质都是对边(Link)的改变。所以新产生的对抗样本要保持这些结构属性的变化在一定范围内。目前大部分文章都是这种类型的攻击;
2.维持属性的扰动:第二种扰动是通过修改节点属性特征来实现,所以攻击者要保证这些属性不能发生明显变化,我们可以通过衡量节点(边)特征向量的相似度来维持特征的稳定性。
攻击方法和类别
1.投毒攻击:新产生的对抗样本将被用于新算法的训练,形象地来说,攻击者对算法的训练集进行投毒,从而影响训练好的算法在未被污染的测试集上面的表现;
2.逃脱攻击:新产生的对抗样本只存在测试集中,算法将在未被污染的训练集上训练。攻击者的目标是让对抗样本影响原来训练好的算法在测试集的表现。
攻击任务:
1.节点相关的任务:对节点分类任务还有对节点嵌入的攻击都属于节点层面的攻击,其目的是让分类器分错,降低其精确率或者召回率。
因为节点分类是目前图数据的主要任务,因此大部分图数据对抗攻击论文都有研究到节点分类任务;
2.链接相关的任务:链接预测是图数据上面的另一个主要任务,推荐系统,知识图谱,社交网络都用到它。
对于链接层面的攻击,主要目的让算法预测到错的链接目标;
3.全图相关的任务:全图相关的任务主要是对整个图的分类,常见于对生物结构的分类任务。
一般是学习图整体结构的低维嵌入,然后进行分类。这方面的对抗攻击研究还比较少。
另一个角度的攻击分类:
1.白盒攻击:攻击者掌握对方系统的所有信息,包括使用何种方法,算法输出结果,计算中的梯度等等。这种场景是指当攻击者完全攻入目标系统的时候;
2.灰盒攻击:攻击只掌握一部分信息便可以发动攻击,这种攻击比白盒攻击更具有危害,因为攻击者不需要完全攻破目标系统就可以发动攻击。在研究中,我们可以针对具体任务和场景,对灰盒攻击再进一步细分类别;
3.黑盒攻击:攻击者只能查询到有限的攻击结果,对目标系统的机制完全不了解。这种攻击难度最大,对与防御方的危害也最大。
根据攻击目标划分:
1.可用性攻击:攻击者的目标是降低整个系统的表现。
例如整体的精确度,召回率等等;
2.完整性攻击:攻击者的目标是降低对于特定热任务或者对象的表现,对整体表现不要求。
例如,在好友推荐任务(链路预测)中,攻击者可以让算法无法预测到特定两个人之间的好友关系。
网友评论