A lot of theoretical and empirical evidence shows that the flatter local minima tend to improve generalization. Adversarial Weight Perturbation (AWP) is an emerging technique to efficiently and effectively find such minima. In AWP we minimize the loss w.r.t. a bounded worst-case perturbation of the model parameters thereby favoring local minima with a small loss in a neighborhood around them. The benefits of AWP, and more generally the connections between flatness and generalization, have been extensively studied for i.i.d. data such as images. In this paper, we extensively study this phenomenon for graph data. Along the way, we first derive a generalization bound for non-i.i.d. node classification tasks. Then we identify a vanishing-gradient issue with all existing formulations of AWP and we propose a new Weighted Truncated AWP (WT-AWP) to alleviate this issue. We show that regularizing graph neural networks with WT-AWP consistently improves both natural and robust generalization across many different graph learning tasks and models.

鉴于他们的普及和应用程序的多样性，图形神经网络（GNNS）越来越重要。然而，对对抗性袭击的脆弱性的现有研究依赖于相对较小的图形。我们解决了这个差距并研究了如何在规模攻击和捍卫GNN。我们提出了两个稀疏感知的一阶优化攻击，尽管优化了在节点数量中的许多参数上优化了有效的表示。我们表明，普通的替代损失并不适合全球对GNN的攻击。我们的替代品可以加倍攻击力量。此外，为了提高GNNS的可靠性，我们设计了强大的聚合函数，软中位，导致所有尺度的有效防御。我们评估了我们的攻击和防御与图形的标准GNN，与以前的工作相比大于100倍以上。我们甚至通过将技术扩展到可伸缩的GNN来进一步缩放一个数量级。

图神经网络（GNN）正在在各种应用领域中实现出色的性能。但是，GNN容易受到输入数据中的噪声和对抗性攻击。在噪音和对抗性攻击方面使GNN坚固是一个重要的问题。现有的GNN防御方法在计算上是要求的，并且不可扩展。在本文中，我们提出了一个通用框架，用于鲁棒化的GNN称为加权laplacian GNN（RWL-GNN）。该方法将加权图拉普拉斯学习与GNN实现结合在一起。所提出的方法受益于Laplacian矩阵的积极半定义特性，具有光滑度和潜在特征，通过制定统一的优化框架，从而确保丢弃对抗性/嘈杂的边缘，并适当加权图中的相关连接。为了进行演示，实验是通过图形卷积神经网络（GCNN）体系结构进行的，但是，所提出的框架很容易适合任何现有的GNN体系结构。使用基准数据集的仿真结果建立了所提出方法的疗效，无论是准确性还是计算效率。可以在https://github.com/bharat-runwal/rwl-gnn上访问代码。

图形神经网络（GNNS）由于其强大的表示能力而广泛用于图形结构化数据处理。通常认为，GNNS可以隐式消除非预测性的噪音。但是，对图神经网络中隐式降解作用的分析仍然开放。在这项工作中，我们进行了一项全面的理论研究，并分析了隐式denoising在GNN中发生的何时以及为什么发生。具体而言，我们研究噪声矩阵的收敛性。我们的理论分析表明，隐式转化很大程度上取决于连接性，图形大小和GNN体系结构。此外，我们通过扩展图形信号降解问题来正式定义并提出对抗图信号denoising（AGSD）问题。通过解决这样的问题，我们得出了一个可靠的图形卷积，可以增强节点表示的平滑度和隐式转化效果。广泛的经验评估验证了我们的理论分析和我们提出的模型的有效性。

数据增强可帮助神经网络通过放大培训集来更好地推广，但它仍然是如何有效增强图数据以增强GNN的性能的开放问题（图形神经网络）。虽然大多数现有图形常规程序专注于通过添加/删除边缘来操纵图形拓扑结构，但我们提供了一种增强节点功能以获得更好性能的方法。我们提出标志（图中的免费大规模对抗动力增强），它在训练期间迭代地增强了基于梯度的对冲扰动的节点特征。通过使模型不变地在输入数据中的小波动中，我们的方法有助于模型推广到分布外的样本，并在测试时间提高模型性能。标志是图形数据的通用方法，它普遍存在节点分类，链路预测和图形分类任务中。标志也是非常灵活和可扩展的，并且可以使用任意GNN骨架和大规模数据集进行可部署。我们通过广泛的实验和消融研究证明了我们方法的功效和稳定性。我们还提供了直观的观察，以更深入地了解我们的方法。

图形神经网络（GNNS）在建模图形结构数据方面表明了它们的能力。但是，实际图形通常包含结构噪声并具有有限的标记节点。当在这些图表中培训时，GNN的性能会显着下降，这阻碍了许多应用程序的GNN。因此，与有限标记的节点开发抗噪声GNN是重要的。但是，这是一个相当有限的工作。因此，我们研究了在具有有限标记节点的嘈杂图中开发鲁棒GNN的新问题。我们的分析表明，嘈杂的边缘和有限的标记节点都可能损害GNN的消息传递机制。为减轻这些问题，我们提出了一种新颖的框架，该框架采用嘈杂的边缘作为监督，以学习去噪和密集的图形，这可以减轻或消除嘈杂的边缘，并促进GNN的消息传递，以缓解有限标记节点的问题。生成的边缘还用于规则地将具有标记平滑度的未标记节点的预测规范化，以更好地列车GNN。实验结果对现实世界数据集展示了在具有有限标记节点的嘈杂图中提出框架的稳健性。

图形神经网络（GNNS）在各种现实世界应用中取得了有希望的性能。然而，最近的研究表明，GNN易受对抗性发作的影响。在本文中，我们研究了关于图表 - 图 - 图注射攻击（GIA）的最近引入的现实攻击情景。在GIA场景中，对手无法修改输入图的现有链路结构和节点属性，而是通过将逆势节点注入到它中来执行攻击。我们对GIA环境下GNN的拓扑脆弱性分析，基于该拓扑结构，我们提出了用于有效注射攻击的拓扑缺陷图注射攻击（TDGIA）。 TDGIA首先介绍了拓扑有缺陷的边缘选择策略，可以选择与注入的原始节点连接。然后，它设计平滑功能优化目标，以生成注入节点的功能。大规模数据集的广泛实验表明，TDGIA可以一致而明显优于攻击数十个防御GNN模型中的各种攻击基线。值得注意的是，来自TDGIA的目标GNNS上的性能下降比KDD-CUP 2020上的数百个提交所带来的最佳攻击解决方案所带来的损坏多于两倍。

从消息传递机制中受益，图形神经网络（GNN）在图形数据上的繁荣任务上已经成功。但是，最近的研究表明，攻击者可以通过恶意修改图形结构来灾难性地降低GNN的性能。解决此问题的直接解决方案是通过在两个末端节点的成对表示之间学习度量函数来建模边缘权重，该指标函数试图将低权重分配给对抗边缘。现有方法使用监督GNN学到的原始功能或表示形式来对边缘重量进行建模。但是，两种策略都面临着一些直接问题：原始特征不能代表节点的各种特性（例如结构信息），而受监督的GNN学到的表示可能会遭受分类器在中毒图上的差异性能。我们需要携带特征信息和尽可能糊状的结构信息并且对结构扰动不敏感的表示形式。为此，我们提出了一条名为stable的无监督管道，以优化图形结构。最后，我们将精心设计的图输入到下游分类器中。对于这一部分，我们设计了一个高级GCN，可显着增强香草GCN的鲁棒性，而不会增加时间复杂性。在四个现实世界图基准上进行的广泛实验表明，稳定的表现优于最先进的方法，并成功防御各种攻击。

图表卷积网络（GCNS）由于图形学习任务的优异性能，因此引起了感兴趣的激增，但也显示出对抗对抗攻击的脆弱性。在本文中，研究了有效的曲线图结构攻击以破坏傅立叶域中的图形光谱滤波器。我们基于图拉普拉斯的特征值来定义光谱距离，以测量光谱滤波器的破坏。然后，我们通过同时最大化任务特定的攻击目标和所提出的光谱距离来生成边缘扰动。实验表明，在训练和测试时间都表现出拟议的攻击中所提出的攻击的显着效果。我们的定性分析显示了攻击行为与谱分布的强加变化之间的连接，这提供了最大化光谱距离的经验证据是改变空间域中图形结构的结构特性和傅立叶中的频率分量的有效方式领域。

Graph neural networks (GNNs) have been increasingly deployed in various applications that involve learning on non-Euclidean data. However, recent studies show that GNNs are vulnerable to graph adversarial attacks. Although there are several defense methods to improve GNN robustness by eliminating adversarial components, they may also impair the underlying clean graph structure that contributes to GNN training. In addition, few of those defense models can scale to large graphs due to their high computational complexity and memory usage. In this paper, we propose GARNET, a scalable spectral method to boost the adversarial robustness of GNN models. GARNET first leverages weighted spectral embedding to construct a base graph, which is not only resistant to adversarial attacks but also contains critical (clean) graph structure for GNN training. Next, GARNET further refines the base graph by pruning additional uncritical edges based on probabilistic graphical model. GARNET has been evaluated on various datasets, including a large graph with millions of nodes. Our extensive experiment results show that GARNET achieves adversarial accuracy improvement and runtime speedup over state-of-the-art GNN (defense) models by up to 13.27% and 14.7x, respectively.

对图形的对抗攻击对图形机器学习（GML）模型的鲁棒性构成了重大威胁。当然，攻击者和捍卫者之间存在一场易于升级的军备竞赛。但是，在相同和现实的条件下，双方背后的策略往往不相当。为了弥合这一差距，我们展示了Graph稳健性基准（GRB），其目的是为GML模型的对抗鲁棒性提供可扩展，统一，模块化和可重复的评估。 GRB将攻击和防御过程标准化1）开发可扩展和多样化的数据集，2）模块化攻击和防御实现，以及统一精细方案中的评估协议。通过利用GRB管道，最终用户可以专注于具有自动数据处理和实验评估的强大GML模型的开发。为了支持对图形对抗性学习的开放和可重复研究，GRB还遍布不同方案的公共排行榜。作为起点，我们对基准基线技术进行了广泛的实验。 GRB是开放的，欢迎社区的贡献。数据集，代码，排行榜可在https://cogdl.ai/grb/home获得。

我们通过形式化节点标签的异质性（即连接的节点倾向于具有不同的标签）和GNN与对抗性攻击的稳健性来弥合图形神经网络（GNN）的两个研究方向。我们的理论和经验分析表明，对于同质图数据，有影响力的结构攻击始终导致同质性降低，而对于异性图数据，同质级别的变化取决于节点度。这些见解对防御对现实图形的攻击具有实际含义：我们推断出分离自我和邻居限制的汇总器，这是一种已确定的设计原则，可以显着改善异性图数据的预测，还可以为增强的鲁棒性提供稳健性gnns。我们的综合实验表明，与表现最好的未接种模型相比，GNN仅采用这种设计可以提高经验和可证明的鲁棒性。此外，与表现最佳的疫苗接种模型相比，这种设计与对抗性攻击的明确防御机制相结合，可提高稳健性，攻击性能在攻击下提高18.33％。

对比度学习是图表学习中的有效无监督方法，对比度学习的关键组成部分在于构建正和负样本。以前的方法通常利用图中节点的接近度作为原理。最近，基于数据增强的对比度学习方法已进步以显示视觉域中的强大力量，一些作品将此方法从图像扩展到图形。但是，与图像上的数据扩展不同，图上的数据扩展远不那么直观，而且很难提供高质量的对比样品，这为改进留出了很大的空间。在这项工作中，通过引入一个对抗性图视图以进行数据增强，我们提出了一种简单但有效的方法，对抗图对比度学习（ARIEL），以在合理的约束中提取信息性的对比样本。我们开发了一种称为稳定训练的信息正则化的新技术，并使用子图抽样以进行可伸缩。我们通过将每个图形实例视为超级节点，从节点级对比度学习到图级。 Ariel始终优于在现实世界数据集上的节点级别和图形级分类任务的当前图对比度学习方法。我们进一步证明，面对对抗性攻击，Ariel更加强大。

图形卷积网络（GCN）已显示出容易受到小型对抗扰动的影响，这成为严重的威胁，并在很大程度上限制了其在关键安全场景中的应用。为了减轻这种威胁，大量的研究工作已致力于增加GCN对对抗攻击的鲁棒性。但是，当前的防御方法通常是为整个图表而设计的，并考虑了全球性能，在保护重要的本地节点免受更强的对抗性靶向攻击方面面临着挑战。在这项工作中，我们提出了一种简单而有效的方法，名为Graph Universal对抗防御（Guard）。与以前的作品不同，Guard可以保护每个单独的节点免受通用防御贴片的攻击，该节点是一次生成的，可以应用于图中的任何节点（节点-Agnostic）。在四个基准数据集上进行的广泛实验表明，我们的方法可显着提高几种已建立的GCN的鲁棒性，以针对多种对抗性攻击，并且胜过大幅度的最先进的防御方法。我们的代码可在https://github.com/edisonleeeeee/guard上公开获取。

尽管图形神经网络（GNNS）的巨大成功应用，但对其泛化能力的理论认识，特别是对于数据不是独立且相同分布的节点级任务（IID），稀疏。概括性绩效的理论调查有利于了解GNN模型的基本问题（如公平性）和设计更好的学习方法。在本文中，我们在非IID半监督学习设置下为GNN提供了一种新的PAC-Bayesian分析。此外，我们分析了未标记节点的不同子组上的泛化性能，这使我们能够通过理论观点进一步研究GNN的准确性 - （DIS）奇偶校准风格（UN）公平。在合理的假设下，我们证明了测试子组和训练集之间的距离可以是影响该子组上GNN性能的关键因素，这调用了对公平学习的培训节点选择。多个GNN模型和数据集的实验支持我们的理论结果。

对抗性培训（AT）已成为培训强大网络的热门选择。然而，它倾向于牺牲清洁精度，以令人满意的鲁棒性，并且遭受大的概括误差。为了解决这些问题，我们提出了平稳的对抗培训（SAT），以我们对损失令人歉端的损失的终人谱指导。 We find that curriculum learning, a scheme that emphasizes on starting "easy" and gradually ramping up on the "difficulty" of training, smooths the adversarial loss landscape for a suitably chosen difficulty metric.我们展示了对普通环境中的课程学习的一般制定，并提出了一种基于最大Hessian特征值（H-SAT）和软MAX概率（P-SA）的两个难度指标。我们展示SAT稳定网络培训即使是大型扰动规范，并且允许网络以更好的清洁精度运行而与鲁棒性权衡曲线相比。与AT，交易和其他基线相比，这导致清洁精度和鲁棒性的显着改善。为了突出一些结果，我们的最佳模型将分别在CIFAR-100上提高6％和1％的稳健准确性。在Imagenette上，一个十一级想象成的子集，我们的模型分别以正常和强大的准确性达到23％和3％。

图形注意力网络（GAT）是处理图数据的有用深度学习模型。但是，最近的作品表明，经典的GAT容易受到对抗攻击的影响。它在轻微的扰动下急剧降低。因此，如何增强GAT的鲁棒性是一个关键问题。本文提出了强大的GAT（Rogat），以根据注意机制的修订来改善GAT的鲁棒性。与原始的GAT不同，该GAT使用注意力机制的不同边缘，但仍然对扰动敏感，Rogat逐渐增加了动态注意力评分并提高了稳健性。首先，Rogat根据平滑度假设修改边缘的重量，这对于普通图很常见。其次，Rogat进一步修改了功能以抑制功能的噪声。然后，由动态边缘的重量产生额外的注意力评分，可用于减少对抗性攻击的影响。针对引文数据的引文数据的针对目标和不靶向攻击的不同实验表明，Rogat的表现优于最近的大多数防御方法。

标记为图形结构数据的分类任务具有许多重要的应用程序，从社交建议到财务建模。深度神经网络越来越多地用于图形上的节点分类，其中具有相似特征的节点必须给出相同的标签。图形卷积网络（GCN）是如此广泛研究的神经网络体系结构，在此任务上表现良好。但是，对GCN的强大链接攻击攻击最近表明，即使对训练有素的模型进行黑框访问，培训图中也存在哪些链接（或边缘）。在本文中，我们提出了一种名为LPGNET的新神经网络体系结构，用于对具有隐私敏感边缘的图形进行培训。 LPGNET使用新颖的设计为训练过程中的图形结构提供了新颖的设计，为边缘提供了差异隐私（DP）保证。我们从经验上表明，LPGNET模型通常位于提供隐私和效用之间的最佳位置：它们比使用不使用边缘信息的“琐碎”私人体系结构（例如，香草MLP）和针对现有的链接策略攻击更好的弹性可以提供更好的实用性。使用完整边缘结构的香草GCN。 LPGNET还与DPGCN相比，LPGNET始终提供更好的隐私性权衡，这是我们大多数评估的数据集中将差异隐私改造为常规GCN的最新机制。

图形神经网络（GNNS）在提供图形结构时良好工作。但是，这种结构可能并不总是在现实世界应用中可用。该问题的一个解决方案是推断任务特定的潜在结构，然后将GNN应用于推断的图形。不幸的是，可能的图形结构的空间与节点的数量超级呈指数，因此任务特定的监督可能不足以学习结构和GNN参数。在这项工作中，我们提出了具有自我监督或拍打的邻接和GNN参数的同时学习，这是通过自我监督来推断图形结构的更多监督的方法。一个综合实验研究表明，缩小到具有数十万个节点的大图和胜过了几种模型，以便在已建立的基准上学习特定于任务的图形结构。

图形神经网络（GNNS）在许多图形挖掘任务中取得了巨大的成功，这些任务从消息传递策略中受益，该策略融合了局部结构和节点特征，从而为更好的图表表示学习。尽管GNN成功，并且与其他类型的深神经网络相似，但发现GNN容易受到图形结构和节点特征的不明显扰动。已经提出了许多对抗性攻击，以披露在不同的扰动策略下创建对抗性例子的GNN的脆弱性。但是，GNNS对成功后门攻击的脆弱性直到最近才显示。在本文中，我们披露了陷阱攻击，这是可转移的图形后门攻击。核心攻击原则是用基于扰动的触发器毒化训练数据集，这可以导致有效且可转移的后门攻击。图形的扰动触发是通过通过替代模型的基于梯度的得分矩阵在图形结构上执行扰动动作来生成的。与先前的作品相比，陷阱攻击在几种方面有所不同：i）利用替代图卷积网络（GCN）模型来生成基于黑盒的后门攻击的扰动触发器； ii）它产生了没有固定模式的样品特异性扰动触发器； iii）在使用锻造中毒训练数据集训练时，在GNN的背景下，攻击转移到了不同​​的GNN模型中。通过对四个现实世界数据集进行广泛的评估，我们证明了陷阱攻击使用四个现实世界数据集在四个不同流行的GNN中构建可转移的后门的有效性