Deep learning on graph structures has shown exciting results in various applications. However, few attentions have been paid to the robustness of such models, in contrast to numerous research work for image or text adversarial attack and defense. In this paper, we focus on the adversarial attacks that fool the model by modifying the combinatorial structure of data. We first propose a reinforcement learning based attack method that learns the generalizable attack policy, while only requiring prediction labels from the target classifier. Also, variants of genetic algorithms and gradient methods are presented in the scenario where prediction confidence or gradients are available. We use both synthetic and real-world data to show that, a family of Graph Neural Network models are vulnerable to these attacks, in both graph-level and node-level classification tasks. We also show such attacks can be used to diagnose the learned classifiers.

组合优化（CO）是一个长期存在的具有挑战性的任务，不仅是其固有的复杂性（例如NP-Hard），而且还具有对输入条件的可能敏感性。在本文中，我们主动开发对抗性攻击和对组合优化求解器的防御的机制，由此求解器被视为黑盒功能和原始问题的底层图形结构（通常可用并与问题相关联实例，例如DAG，TSP）在给定的预算下受到攻击。特别是，我们提出了一种简单而有效的防御策略来修改图形结构，以增加求解器的稳健性，这表明其跨任务和求解器的普遍效率。

图形神经网络（GNNS）在各种现实世界应用中取得了有希望的性能。然而，最近的研究表明，GNN易受对抗性发作的影响。在本文中，我们研究了关于图表 - 图 - 图注射攻击（GIA）的最近引入的现实攻击情景。在GIA场景中，对手无法修改输入图的现有链路结构和节点属性，而是通过将逆势节点注入到它中来执行攻击。我们对GIA环境下GNN的拓扑脆弱性分析，基于该拓扑结构，我们提出了用于有效注射攻击的拓扑缺陷图注射攻击（TDGIA）。 TDGIA首先介绍了拓扑有缺陷的边缘选择策略，可以选择与注入的原始节点连接。然后，它设计平滑功能优化目标，以生成注入节点的功能。大规模数据集的广泛实验表明，TDGIA可以一致而明显优于攻击数十个防御GNN模型中的各种攻击基线。值得注意的是，来自TDGIA的目标GNNS上的性能下降比KDD-CUP 2020上的数百个提交所带来的最佳攻击解决方案所带来的损坏多于两倍。

许多数据挖掘任务依靠图来模拟个人（节点）之间的关系结构。由于关系数据通常很敏感，因此迫切需要评估图形数据中的隐私风险。对数据分析模型的著名隐私攻击是模型反转攻击，该攻击旨在推断培训数据集中的敏感数据并引起极大的隐私问题。尽管它在类似网格的域中取得了成功，但直接应用模型反转攻击（例如图形）导致攻击性能差。这主要是由于未能考虑图的唯一属性。为了弥合这一差距，我们对模型反转攻击对图神经网络（GNNS）进行了系统研究，这是本文中最新的图形分析工具之一。首先，在攻击者可以完全访问目标GNN模型的白色框设置中，我们提出GraphMi来推断私人训练图数据。具体而言，在GraphMi中，提出了一个投影梯度模块来应对图边的离散性并保持图形特征的稀疏性和平滑度。图形自动编码器模块用于有效利用边缘推理的图形拓扑，节点属性和目标模型参数。随机采样模块最终可以采样离散边缘。此外，在攻击者只能查询GNN API并接收分类结果的硬标签黑框设置中，我们根据梯度估计和增强学习（RL-GraphMI）提出了两种方法。我们的实验结果表明，此类防御措施没有足够的有效性，并要求对隐私攻击进行更先进的防御能力。

图表神经网络（GNNS）在行业中，由于各种预测任务的表现令人印象深刻，在行业中获得了显着的采用。然而，单独的性能是不够的。任何广泛部署的机器学习算法都必须强大到对抗性攻击。在这项工作中，我们调查了GNN的这个方面，识别漏洞，并将它们链接到图形属性，可能导致更安全和强大的GNN的开发。具体而言，我们制定任务和模型不可知逃避攻击问题，其中对手修改了测试图以影响任何未知下游任务的性能。提出的算法，盛大（$ GR $ APH $ A $ TTACK通过$ N $ eighbors $ D $ Istorration）显示节点邻域的失真在急剧损害预测性能方面是有效的。虽然邻里失真是一个NP难题，但是宏伟设计了通过具有深入$ Q $ -Learning的图形同构网络的新组合的启发式。关于实际数据集的广泛实验表明，平均而言，盛大的速度高达50美元，而不是最先进的技术，同时速度超过100美元。

图表神经网络，一种流行的模型，在各种基于图形的学习任务中有效，已被证明易受对抗攻击的影响。虽然大多数文献侧重于节点级分类任务中的这种脆弱性，但很少努力致力于分析对图形级分类的对抗攻击，这是生物化学和社会网络分析等众多现实生活应用的重要问题。少数现有方法通常需要不切实际的设置，例如访问受害者模型的内部信息，或者是一个不切实际的查询。我们提出了一种新型贝叶斯优化的攻击方法，用于图形分类模型。我们的方法是黑匣子，查询效率和涉及扰动的效率和解析。我们经验验证了所提出的方法对涉及不同图形属性，约束和攻击方式的图形分类任务的效果和灵活性。最后，我们分析了产生的对手样本后面的常见可解释模式，这可能会在图形分类模型的对抗鲁棒性上流出进一步的光。

Graph Neural Networks (GNNs) have been widely applied to different tasks such as bioinformatics, drug design, and social networks. However, recent studies have shown that GNNs are vulnerable to adversarial attacks which aim to mislead the node or subgraph classification prediction by adding subtle perturbations. Detecting these attacks is challenging due to the small magnitude of perturbation and the discrete nature of graph data. In this paper, we propose a general adversarial edge detection pipeline EDoG without requiring knowledge of the attack strategies based on graph generation. Specifically, we propose a novel graph generation approach combined with link prediction to detect suspicious adversarial edges. To effectively train the graph generative model, we sample several sub-graphs from the given graph data. We show that since the number of adversarial edges is usually low in practice, with low probability the sampled sub-graphs will contain adversarial edges based on the union bound. In addition, considering the strong attacks which perturb a large number of edges, we propose a set of novel features to perform outlier detection as the preprocessing for our detection. Extensive experimental results on three real-world graph datasets including a private transaction rule dataset from a major company and two types of synthetic graphs with controlled properties show that EDoG can achieve above 0.8 AUC against four state-of-the-art unseen attack strategies without requiring any knowledge about the attack type; and around 0.85 with knowledge of the attack type. EDoG significantly outperforms traditional malicious edge detection baselines. We also show that an adaptive attack with full knowledge of our detection pipeline is difficult to bypass it.

机器学习模型被证明是面对模型提取攻击的严重威胁，其中服务提供商拥有的训练有素的私人模型可以被假装作为客户端的攻击者窃取。不幸的是，先前的作品侧重于欧几里德空间训练的模型，例如图像和文本，而如何提取包含图形结构的GNN模型，则尚未探索节点功能。本文首次全面调查并开发针对GNN模型的模型提取攻击。我们首先通过考虑由攻击者获得的节点的不同背景知识，将对冲威胁分类为七种类别的威胁建模并将对抗性威胁分类为七个类别。然后我们展示了利用每种威胁中的可访问知识来实现​​攻击的详细方法。通过评估三个现实世界数据集，我们的攻击显示有效提取重复模型，即目标域中的84％ - 89％的输入具有与受害者模型相同的输出预测。

图神经网络（GNN）在图形分类和多样化的下游现实世界应用方面取得了巨大成功。尽管他们成功了，但现有的方法要么仅限于结构攻击，要么仅限于本地信息。这要求在图形分类上建立更一般的攻击框架，由于使用全球图表级信息生成本地节点级的对抗示例的复杂性，因此面临重大挑战。为了解决这个“全局到本地”问题，我们提出了一个通用框架CAMA，以通过层次样式操纵图形结构和节点特征来生成对抗性示例。具体而言，我们利用Graph类激活映射及其变体来产​​生与图形分类任务相对应的节点级的重要性。然后，通过算法的启发式设计，我们可以借助节点级别和子图级的重要性在不明显的扰动预算下执行功能和结构攻击。在六个现实世界基准上攻击四个最先进的图形分类模型的实验验证了我们框架的灵活性和有效性。

许多真实数据以图形的形式出现。图表神经网络（GNNS）是一个新的机器学习（ML）模型，已建议完全利用图表数据来构建强大的应用程序。特别地，可以概括到看不见的数据的电感GNN成为主流。机器学习模型在各种任务中表现出很大的潜力，并已在许多真实情景中部署。要培训良好的模型，需要大量的数据以及计算资源，从而导致有价值的知识产权。以前的研究表明，ML模型容易窃取攻击模型，旨在窃取目标模型的功能。然而，大多数人都专注于用图像和文本接受培训的模型。另一方面，对于用图表数据，即GNNS接受培训的模型，已经支付了很少的注意。在本文中，我们通过提出针对电感GNN的第一个模型窃取攻击来填补差距。我们系统地定义了威胁模型，并根据对手的背景知识和目标模型的响应提出六次攻击。我们对六个基准数据集的评估显示，拟议的模型窃取针对GNN的攻击实现了有希望的性能。

图表神经网络（GNNS）已成功利用在许多现实世界应用中的图形分析任务中。攻击和防御方法之间的竞争也增强了GNN的鲁棒性。在这次竞争中，对抗性培训方法的发展提出了对攻击例子的多样性要求。相比之下，大多数具有特定攻击策略的攻击方法难以满足这种要求。为了解决这个问题，我们提出了GraphAtcher，这是一种新型通用图形攻击框架，可根据图分析任务灵活地调整结构和攻击策略。通过在三个关键组件上的替代培训：基于生成对冲网络（GaN）的多策略攻击发生器（MAG），相似性鉴别器（SD）和攻击鉴别器（AD），产生对手示例。此外，考虑到节点相似性分布的变化，我们介绍了一种新颖的相似性修改率SMR来进行隐秘的攻击。在各种基准数据集上的实验表明，GraphAtcker可以在节点分类，图形分类和链路预测的图形分析任务上实现最先进的攻击性能，无论是否进行了对抗性培训。此外，我们还分析了每个任务的独特特征及其在统一攻击框架中的特定响应。项目代码可在https://github.com/honoluluuuu/graphatter处获得。

Graph mining tasks arise from many different application domains, ranging from social networks, transportation to E-commerce, etc., which have been receiving great attention from the theoretical and algorithmic design communities in recent years, and there has been some pioneering work employing the research-rich Reinforcement Learning (RL) techniques to address graph data mining tasks. However, these graph mining methods and RL models are dispersed in different research areas, which makes it hard to compare them. In this survey, we provide a comprehensive overview of RL and graph mining methods and generalize these methods to Graph Reinforcement Learning (GRL) as a unified formulation. We further discuss the applications of GRL methods across various domains and summarize the method descriptions, open-source codes, and benchmark datasets of GRL methods. Furthermore, we propose important directions and challenges to be solved in the future. As far as we know, this is the latest work on a comprehensive survey of GRL, this work provides a global view and a learning resource for scholars. In addition, we create an online open-source for both interested scholars who want to enter this rapidly developing domain and experts who would like to compare GRL methods.

对图形的对抗攻击对图形机器学习（GML）模型的鲁棒性构成了重大威胁。当然，攻击者和捍卫者之间存在一场易于升级的军备竞赛。但是，在相同和现实的条件下，双方背后的策略往往不相当。为了弥合这一差距，我们展示了Graph稳健性基准（GRB），其目的是为GML模型的对抗鲁棒性提供可扩展，统一，模块化和可重复的评估。 GRB将攻击和防御过程标准化1）开发可扩展和多样化的数据集，2）模块化攻击和防御实现，以及统一精细方案中的评估协议。通过利用GRB管道，最终用户可以专注于具有自动数据处理和实验评估的强大GML模型的开发。为了支持对图形对抗性学习的开放和可重复研究，GRB还遍布不同方案的公共排行榜。作为起点，我们对基准基线技术进行了广泛的实验。 GRB是开放的，欢迎社区的贡献。数据集，代码，排行榜可在https://cogdl.ai/grb/home获得。

尽管深度神经网络在图形分析方面取得了巨大的成功，但最近的工作表明它们容易受到对抗攻击的影响。与对图像分类的对抗性攻击相比，在图形上执行对抗性攻击更具挑战性，因为图形的相邻矩阵的离散性和非差异性质。在这项工作中，我们提出了集群攻击 - 对节点分类的图形注射攻击（GIA），该攻击将假节点注入原始图中，以使某些受害者节点的图形神经网络（GNN）的性能退化，同时将其他节点视为其他节点几乎没有。我们证明，GIA问题可以等效地作为图形聚类问题。因此，可以在图形聚类的上下文中解决邻接矩阵的离散优化问题。特别是，我们建议通过对受害者漏洞度量来衡量受害者节点之间的相似性，这与受害者节点将如何受到注入的假节点的影响有关，并相应地将受害者节点群集成。我们的攻击是以实用且不明显的基于查询的黑盒方式进行的，图表上只有几个节点可以访问。理论分析和广泛的实验通过仅使用少量查询来欺骗节点分类器，证明了我们方法的有效性。

图表卷积网络（GCNS）由于图形学习任务的优异性能，因此引起了感兴趣的激增，但也显示出对抗对抗攻击的脆弱性。在本文中，研究了有效的曲线图结构攻击以破坏傅立叶域中的图形光谱滤波器。我们基于图拉普拉斯的特征值来定义光谱距离，以测量光谱滤波器的破坏。然后，我们通过同时最大化任务特定的攻击目标和所提出的光谱距离来生成边缘扰动。实验表明，在训练和测试时间都表现出拟议的攻击中所提出的攻击的显着效果。我们的定性分析显示了攻击行为与谱分布的强加变化之间的连接，这提供了最大化光谱距离的经验证据是改变空间域中图形结构的结构特性和傅立叶中的频率分量的有效方式领域。

图形神经网络（GNNS）在许多图形挖掘任务中取得了巨大的成功，这些任务从消息传递策略中受益，该策略融合了局部结构和节点特征，从而为更好的图表表示学习。尽管GNN成功，并且与其他类型的深神经网络相似，但发现GNN容易受到图形结构和节点特征的不明显扰动。已经提出了许多对抗性攻击，以披露在不同的扰动策略下创建对抗性例子的GNN的脆弱性。但是，GNNS对成功后门攻击的脆弱性直到最近才显示。在本文中，我们披露了陷阱攻击，这是可转移的图形后门攻击。核心攻击原则是用基于扰动的触发器毒化训练数据集，这可以导致有效且可转移的后门攻击。图形的扰动触发是通过通过替代模型的基于梯度的得分矩阵在图形结构上执行扰动动作来生成的。与先前的作品相比，陷阱攻击在几种方面有所不同：i）利用替代图卷积网络（GCN）模型来生成基于黑盒的后门攻击的扰动触发器； ii）它产生了没有固定模式的样品特异性扰动触发器； iii）在使用锻造中毒训练数据集训练时，在GNN的背景下，攻击转移到了不同​​的GNN模型中。通过对四个现实世界数据集进行广泛的评估，我们证明了陷阱攻击使用四个现实世界数据集在四个不同流行的GNN中构建可转移的后门的有效性

图表的深度学习模型对节点分类的任务取得了很强的性能。尽管他们扩散，目前没有对对抗性袭击的稳健性的研究。然而，在域中可能被使用，例如，网上，对手很常见。图表的深度学习模型很容易被愚弄吗？在这项工作中，我们介绍了对归属图的对抗性攻击的第一次研究，特别是专注于利用图形卷积思想的模型。除了在考试时间的攻击之外，我们还解决了更具挑战性的中毒/致病攻击，这些攻击专注于机器学习模型的训练阶段。我们生成针对节点特征和图形结构的对抗扰动，从而占用了实例之间的依赖关系。此外，我们确保通过保留重要数据特征来确保扰动仍然是不可抑制的。为了应对基础的离散域，我们提出了一种有效的NetTack利用增量计算的算法。我们的实验研究表明，即使仅在扰动时，节点分类的准确性也显着下降。甚至更多，我们的攻击是可转移的：学习攻击概括到其他最先进的节点分类模型和无监督的方法，同样也是成功的，即使仅给出了关于图形的有限知识时也是成功的。

隐私性和解释性是实现值得信赖的机器学习的两种重要成分。我们通过图形重建攻击研究了图机学习中这两个方面的相互作用。这里的对手的目的是重建给定模型解释的训练数据的图形结构。根据对手可用的不同种类的辅助信息，我们提出了几种图形重建攻击。我们表明，事后功能解释的其他知识大大提高了这些攻击的成功率。此外，我们详细研究了攻击性能相对于三种不同类别的图形神经网络的解释方法的差异：基于梯度，基于扰动和基于替代模型的方法。虽然基于梯度的解释在图形结构方面显示最多，但我们发现这些解释并不总是在实用程序上得分很高。对于其他两类的解释，隐私泄漏随着解释实用程序的增加而增加。最后，我们提出了基于随机响应机制的防御，以释放大大降低攻击成功率的解释。我们的匿名代码可用。

最近的研究证明，图形神经网络容易受到对抗性攻击的影响。攻击者可以仅依靠培训标签来破坏Edge扰动不可知论受害者模型的性能。研究人员观察到，基于显着性的攻击者倾向于添加边缘而不是删除它们，这是通过以下事实来解释的：添加边缘通过聚集来污染节点的特征，同时删除边缘只会导致一些信息丢失。在本文中，我们进一步证明了攻击者通过添加类间边缘来扰动图，这也表现为降低扰动图的同层。从这个角度来看，基于显着的攻击者仍然有提高能力和不可识别的空间。基于GNN的替代模型的消息传递导致通过类间边缘连接的节点的过度厚度，从而阻止了攻击者获得节点特征的独特性。为了解决此问题，我们引入了一个多跳的汇总消息传递，以保留节点之间的属性差异。此外，我们提出了一个正规化术语来限制同质方差，以增强攻击不可识别。实验验证我们提出的替代模型改善了攻击者的多功能性，正则化项有助于限制扰动图的同质性。

图边缘扰动致力于通过修改图形结构来损害图神经网络的预测。以前的灰色框攻击者采用替代模型的梯度来定位脆弱的边缘以扰动图形结构。但是，图形结构上的梯度存在不可靠性，这是先前工作很少研究的。在本文中，我们讨论并分析了由结构梯度的不可靠性引起的错误。这些误差是由于图形结构的离散性以及图形结构上元梯度的不可靠性引起的粗糙梯度使用。为了解决这些问题，我们提出了一种新的攻击模型，该模型采用减少结构梯度内部错误的方法。我们提出Edge离散抽样以选择与分层候选选择相关的边缘扰动，以确保计算效率。此外，提出了语义不变性和动量梯度集合，以解决语义增强图上的梯度波动以及替代模型的不稳定性。实验是在未靶向的灰色盒中毒场景中进行的，并证明了我们方法的性能的改善。