基于图的异常检测（GAD）由于图表的强大表示能力以及图形采矿技术的最新进展而变得普遍。然而，这些GAD工具暴露了新的攻击表面，讽刺地是由于能够利用数据之间的关系的独特优势。也就是说，攻击者现在可以操纵那些关系（即图形的结构），以允许一些目标节点逃避检测。在本文中，我们通过将新型的针对性结构中毒攻击设计到奇怪的基于代表回归的GAD系统来利用这种脆弱性。特别是，我们为奇怪的攻击制定了奇怪的攻击，作为双级优化问题，在那里关键的技术挑战是有效地解决离散域中的问题。我们提出了一种基于梯度下降的新型攻击方法称为二进制层。与现有技术相比，BinarizedAttack可以更好地使用梯度信息，使其特别适用于解决组合优化问题。此外，我们通过采用它来攻击其他基于代表学习的GAD系统来调查BinarizedAtch的攻击可转换性。我们的综合实验表明，BinarizedAttack非常有效地使目标节点能够避免基于图形的异常检测工具与有限的攻击者的预算，并且在黑箱转移攻击设置中，BinarizedAtck也有效地测试，特别是可以显着改变GAD系统学习的节点嵌入式。因此，我们的研究开辟了学习新型攻击的门，以依靠图形数据的安全分析工具。

Graph Neural Networks (GNNs) have been widely applied to different tasks such as bioinformatics, drug design, and social networks. However, recent studies have shown that GNNs are vulnerable to adversarial attacks which aim to mislead the node or subgraph classification prediction by adding subtle perturbations. Detecting these attacks is challenging due to the small magnitude of perturbation and the discrete nature of graph data. In this paper, we propose a general adversarial edge detection pipeline EDoG without requiring knowledge of the attack strategies based on graph generation. Specifically, we propose a novel graph generation approach combined with link prediction to detect suspicious adversarial edges. To effectively train the graph generative model, we sample several sub-graphs from the given graph data. We show that since the number of adversarial edges is usually low in practice, with low probability the sampled sub-graphs will contain adversarial edges based on the union bound. In addition, considering the strong attacks which perturb a large number of edges, we propose a set of novel features to perform outlier detection as the preprocessing for our detection. Extensive experimental results on three real-world graph datasets including a private transaction rule dataset from a major company and two types of synthetic graphs with controlled properties show that EDoG can achieve above 0.8 AUC against four state-of-the-art unseen attack strategies without requiring any knowledge about the attack type; and around 0.85 with knowledge of the attack type. EDoG significantly outperforms traditional malicious edge detection baselines. We also show that an adaptive attack with full knowledge of our detection pipeline is difficult to bypass it.

图表的深度学习模型对节点分类的任务取得了很强的性能。尽管他们扩散，目前没有对对抗性袭击的稳健性的研究。然而，在域中可能被使用，例如，网上，对手很常见。图表的深度学习模型很容易被愚弄吗？在这项工作中，我们介绍了对归属图的对抗性攻击的第一次研究，特别是专注于利用图形卷积思想的模型。除了在考试时间的攻击之外，我们还解决了更具挑战性的中毒/致病攻击，这些攻击专注于机器学习模型的训练阶段。我们生成针对节点特征和图形结构的对抗扰动，从而占用了实例之间的依赖关系。此外，我们确保通过保留重要数据特征来确保扰动仍然是不可抑制的。为了应对基础的离散域，我们提出了一种有效的NetTack利用增量计算的算法。我们的实验研究表明，即使仅在扰动时，节点分类的准确性也显着下降。甚至更多，我们的攻击是可转移的：学习攻击概括到其他最先进的节点分类模型和无监督的方法，同样也是成功的，即使仅给出了关于图形的有限知识时也是成功的。

事实证明，图形神经网络（GNN）在图形结构数据的几个预测建模任务中已被证明。在这些任务中，链接预测是许多现实世界应用（例如推荐系统）的基本问题之一。但是，GNN不能免疫对抗攻击，即精心制作的恶意例子，旨在欺骗预测模型。在这项工作中，我们专注于对基于GNN的链接预测模型进行特定的白盒攻击，其中恶意节点的目的是出现在给定目标受害者的推荐节点列表中。为了实现这一目标，攻击者节点还可以指望它直接控制的其他现有同伴的合作，即在网络中注入许多``vicious''节点的能力。具体而言，所有这些恶意节点都可以添加新的边缘或删除现有的节点，从而扰乱原始图。因此，我们提出了野蛮人，一种新颖的框架和一种安装这种链接预测攻击的方法。野蛮人将对手的目标制定为一项优化任务，从而达到了攻击的有效性与所需的恶意资源的稀疏之间的平衡。在现实世界和合成数据集上进行的广泛实验表明，通过野蛮人实施的对抗性攻击确实达到了很高的攻击成功率，但使用少量恶性节点。最后，尽管这些攻击需要完全了解目标模型，但我们表明它们可以成功地转移到其他黑框方法以进行链接预测。

图表神经网络（GNNS）已成功利用在许多现实世界应用中的图形分析任务中。攻击和防御方法之间的竞争也增强了GNN的鲁棒性。在这次竞争中，对抗性培训方法的发展提出了对攻击例子的多样性要求。相比之下，大多数具有特定攻击策略的攻击方法难以满足这种要求。为了解决这个问题，我们提出了GraphAtcher，这是一种新型通用图形攻击框架，可根据图分析任务灵活地调整结构和攻击策略。通过在三个关键组件上的替代培训：基于生成对冲网络（GaN）的多策略攻击发生器（MAG），相似性鉴别器（SD）和攻击鉴别器（AD），产生对手示例。此外，考虑到节点相似性分布的变化，我们介绍了一种新颖的相似性修改率SMR来进行隐秘的攻击。在各种基准数据集上的实验表明，GraphAtcker可以在节点分类，图形分类和链路预测的图形分析任务上实现最先进的攻击性能，无论是否进行了对抗性培训。此外，我们还分析了每个任务的独特特征及其在统一攻击框架中的特定响应。项目代码可在https://github.com/honoluluuuu/graphatter处获得。

从消息传递机制中受益，图形神经网络（GNN）在图形数据上的繁荣任务上已经成功。但是，最近的研究表明，攻击者可以通过恶意修改图形结构来灾难性地降低GNN的性能。解决此问题的直接解决方案是通过在两个末端节点的成对表示之间学习度量函数来建模边缘权重，该指标函数试图将低权重分配给对抗边缘。现有方法使用监督GNN学到的原始功能或表示形式来对边缘重量进行建模。但是，两种策略都面临着一些直接问题：原始特征不能代表节点的各种特性（例如结构信息），而受监督的GNN学到的表示可能会遭受分类器在中毒图上的差异性能。我们需要携带特征信息和尽可能糊状的结构信息并且对结构扰动不敏感的表示形式。为此，我们提出了一条名为stable的无监督管道，以优化图形结构。最后，我们将精心设计的图输入到下游分类器中。对于这一部分，我们设计了一个高级GCN，可显着增强香草GCN的鲁棒性，而不会增加时间复杂性。在四个现实世界图基准上进行的广泛实验表明，稳定的表现优于最先进的方法，并成功防御各种攻击。

图神经网络（GNN）正在在各种应用领域中实现出色的性能。但是，GNN容易受到输入数据中的噪声和对抗性攻击。在噪音和对抗性攻击方面使GNN坚固是一个重要的问题。现有的GNN防御方法在计算上是要求的，并且不可扩展。在本文中，我们提出了一个通用框架，用于鲁棒化的GNN称为加权laplacian GNN（RWL-GNN）。该方法将加权图拉普拉斯学习与GNN实现结合在一起。所提出的方法受益于Laplacian矩阵的积极半定义特性，具有光滑度和潜在特征，通过制定统一的优化框架，从而确保丢弃对抗性/嘈杂的边缘，并适当加权图中的相关连接。为了进行演示，实验是通过图形卷积神经网络（GCNN）体系结构进行的，但是，所提出的框架很容易适合任何现有的GNN体系结构。使用基准数据集的仿真结果建立了所提出方法的疗效，无论是准确性还是计算效率。可以在https://github.com/bharat-runwal/rwl-gnn上访问代码。

节点注入对图神经网络（GNN）的攻击已作为一种实际的攻击场景而引起了人们的注意，攻击者会注入恶意节点，而不是修改节点功能或边缘以降低GNN的性能。尽管节点注射攻击最初取得了成功，但我们发现，通过防御方法，可以通过防御方法和限制其在实践中限制其攻击性能，从而很容易将注射的节点与原始正常节点区分开。为了解决上述问题，我们致力于伪装节点注入攻击，即伪装注入恶意节点（结构/属性）是对防御方法似乎合理/不察觉的普通淋巴结。图形数据的非欧亚人性质和缺乏人类的先验性质给伪装上伪装的形式化，实施和评估带来了巨大挑战。在本文中，我们首先提出并制定了从注射节点围绕的自我网络的忠诚度和多样性中注入的节点的伪装。然后，我们为节点注射攻击（即Cana）设计了一个对抗性伪装框架，以改善伪装，同时确保攻击性能。进一步设计了几种用于图形伪装的新型指标，以进行全面的评估。实验结果表明，当将现有的节点注入攻击方法与我们提出的CANA框架配置时，针对防御方法的攻击性能以及节点伪装将显着改善。

许多数据挖掘任务依靠图来模拟个人（节点）之间的关系结构。由于关系数据通常很敏感，因此迫切需要评估图形数据中的隐私风险。对数据分析模型的著名隐私攻击是模型反转攻击，该攻击旨在推断培训数据集中的敏感数据并引起极大的隐私问题。尽管它在类似网格的域中取得了成功，但直接应用模型反转攻击（例如图形）导致攻击性能差。这主要是由于未能考虑图的唯一属性。为了弥合这一差距，我们对模型反转攻击对图神经网络（GNNS）进行了系统研究，这是本文中最新的图形分析工具之一。首先，在攻击者可以完全访问目标GNN模型的白色框设置中，我们提出GraphMi来推断私人训练图数据。具体而言，在GraphMi中，提出了一个投影梯度模块来应对图边的离散性并保持图形特征的稀疏性和平滑度。图形自动编码器模块用于有效利用边缘推理的图形拓扑，节点属性和目标模型参数。随机采样模块最终可以采样离散边缘。此外，在攻击者只能查询GNN API并接收分类结果的硬标签黑框设置中，我们根据梯度估计和增强学习（RL-GraphMI）提出了两种方法。我们的实验结果表明，此类防御措施没有足够的有效性，并要求对隐私攻击进行更先进的防御能力。

图形神经网络（GNNS）在许多图形挖掘任务中取得了巨大的成功，这些任务从消息传递策略中受益，该策略融合了局部结构和节点特征，从而为更好的图表表示学习。尽管GNN成功，并且与其他类型的深神经网络相似，但发现GNN容易受到图形结构和节点特征的不明显扰动。已经提出了许多对抗性攻击，以披露在不同的扰动策略下创建对抗性例子的GNN的脆弱性。但是，GNNS对成功后门攻击的脆弱性直到最近才显示。在本文中，我们披露了陷阱攻击，这是可转移的图形后门攻击。核心攻击原则是用基于扰动的触发器毒化训练数据集，这可以导致有效且可转移的后门攻击。图形的扰动触发是通过通过替代模型的基于梯度的得分矩阵在图形结构上执行扰动动作来生成的。与先前的作品相比，陷阱攻击在几种方面有所不同：i）利用替代图卷积网络（GCN）模型来生成基于黑盒的后门攻击的扰动触发器； ii）它产生了没有固定模式的样品特异性扰动触发器； iii）在使用锻造中毒训练数据集训练时，在GNN的背景下，攻击转移到了不同​​的GNN模型中。通过对四个现实世界数据集进行广泛的评估，我们证明了陷阱攻击使用四个现实世界数据集在四个不同流行的GNN中构建可转移的后门的有效性

链接预测，推断图形的未发现或潜在链接，被广泛应用于现实世界中。通过促进图表的标记链接作为训练数据，已经研究了许多基于深度学习的链接预测方法，与非深度方法相比，它们具有主导的预测准确性。但是，恶意制作的训练图的威胁将在深层模型中留下特定的后门，因此，当一些特定的示例被馈入模型时，它将做出错误的预测，定义为后门攻击。这是当前文献中忽略的重要方面。在本文中，我们促使后门攻击对链接预测的概念，并提出链接 - 背门以揭示现有链接预测方法的训练漏洞。具体而言，链接 - 贝克门将假节点与目标链接的节点结合在一起，形成触发器。此外，它通过目标模型的梯度信息来优化触发器。因此，在后排数据集中训练的链接预测模型将预测与目标状态触发的链接。在五个基准数据集和五个表现良好的链接预测模型上进行的广泛实验表明，链接 - 贝克门都在白色框（即目标模型参数可用）和黑色框下实现了最新的攻击成功率。框（即目标模型参数不可用）方案。此外，我们在防御性情况下作证了攻击，结果表明，链接 - 背部门仍然可以成功构建对表现良好的链接预测方法的成功攻击。代码和数据可在https://github.com/seaocn/link-backdoor上获得。

鉴于他们的普及和应用程序的多样性，图形神经网络（GNNS）越来越重要。然而，对对抗性袭击的脆弱性的现有研究依赖于相对较小的图形。我们解决了这个差距并研究了如何在规模攻击和捍卫GNN。我们提出了两个稀疏感知的一阶优化攻击，尽管优化了在节点数量中的许多参数上优化了有效的表示。我们表明，普通的替代损失并不适合全球对GNN的攻击。我们的替代品可以加倍攻击力量。此外，为了提高GNNS的可靠性，我们设计了强大的聚合函数，软中位，导致所有尺度的有效防御。我们评估了我们的攻击和防御与图形的标准GNN，与以前的工作相比大于100倍以上。我们甚至通过将技术扩展到可伸缩的GNN来进一步缩放一个数量级。

图表神经网络，一种流行的模型，在各种基于图形的学习任务中有效，已被证明易受对抗攻击的影响。虽然大多数文献侧重于节点级分类任务中的这种脆弱性，但很少努力致力于分析对图形级分类的对抗攻击，这是生物化学和社会网络分析等众多现实生活应用的重要问题。少数现有方法通常需要不切实际的设置，例如访问受害者模型的内部信息，或者是一个不切实际的查询。我们提出了一种新型贝叶斯优化的攻击方法，用于图形分类模型。我们的方法是黑匣子，查询效率和涉及扰动的效率和解析。我们经验验证了所提出的方法对涉及不同图形属性，约束和攻击方式的图形分类任务的效果和灵活性。最后，我们分析了产生的对手样本后面的常见可解释模式，这可能会在图形分类模型的对抗鲁棒性上流出进一步的光。

从外界培训的机器学习模型可能会被数据中毒攻击损坏，将恶意指向到模型的培训集中。对这些攻击的常见防御是数据消毒：在培训模型之前首先过滤出异常培训点。在本文中，我们开发了三次攻击，可以绕过广泛的常见数据消毒防御，包括基于最近邻居，训练损失和奇异值分解的异常探测器。通过增加3％的中毒数据，我们的攻击成功地将Enron垃圾邮件检测数据集的测试错误从3％增加到24％，并且IMDB情绪分类数据集从12％到29％。相比之下，没有明确占据这些数据消毒防御的现有攻击被他们击败。我们的攻击基于两个想法：（i）我们协调我们的攻击将中毒点彼此放置在彼此附近，（ii）我们将每个攻击制定为受限制的优化问题，限制旨在确保中毒点逃避检测。随着这种优化涉及解决昂贵的Bilevel问题，我们的三个攻击对应于基于影响功能的近似近似这个问题的方式; minimax二元性;和karush-kuhn-tucker（kkt）条件。我们的结果强调了对数据中毒攻击产生更强大的防御的必要性。

图表卷积网络（GCNS）由于图形学习任务的优异性能，因此引起了感兴趣的激增，但也显示出对抗对抗攻击的脆弱性。在本文中，研究了有效的曲线图结构攻击以破坏傅立叶域中的图形光谱滤波器。我们基于图拉普拉斯的特征值来定义光谱距离，以测量光谱滤波器的破坏。然后，我们通过同时最大化任务特定的攻击目标和所提出的光谱距离来生成边缘扰动。实验表明，在训练和测试时间都表现出拟议的攻击中所提出的攻击的显着效果。我们的定性分析显示了攻击行为与谱分布的强加变化之间的连接，这提供了最大化光谱距离的经验证据是改变空间域中图形结构的结构特性和傅立叶中的频率分量的有效方式领域。

许多最先进的ML模型在各种任务中具有优于图像分类的人类。具有如此出色的性能，ML模型今天被广泛使用。然而，存在对抗性攻击和数据中毒攻击的真正符合ML模型的稳健性。例如，Engstrom等人。证明了最先进的图像分类器可以容易地被任意图像上的小旋转欺骗。由于ML系统越来越纳入安全性和安全敏感的应用，对抗攻击和数据中毒攻击构成了相当大的威胁。本章侧重于ML安全的两个广泛和重要的领域：对抗攻击和数据中毒攻击。

图形卷积网络（GCN）已显示出容易受到小型对抗扰动的影响，这成为严重的威胁，并在很大程度上限制了其在关键安全场景中的应用。为了减轻这种威胁，大量的研究工作已致力于增加GCN对对抗攻击的鲁棒性。但是，当前的防御方法通常是为整个图表而设计的，并考虑了全球性能，在保护重要的本地节点免受更强的对抗性靶向攻击方面面临着挑战。在这项工作中，我们提出了一种简单而有效的方法，名为Graph Universal对抗防御（Guard）。与以前的作品不同，Guard可以保护每个单独的节点免受通用防御贴片的攻击，该节点是一次生成的，可以应用于图中的任何节点（节点-Agnostic）。在四个基准数据集上进行的广泛实验表明，我们的方法可显着提高几种已建立的GCN的鲁棒性，以针对多种对抗性攻击，并且胜过大幅度的最先进的防御方法。我们的代码可在https://github.com/edisonleeeeee/guard上公开获取。

对于由硬件和软件组件组成的复杂分布式系统而言，异常检测是一个重要的问题。对此类系统的异常检测的要求和挑战的透彻理解对于系统的安全性至关重要，尤其是对于现实世界的部署。尽管有许多解决问题的研究领域和应用领域，但很少有人试图对这种系统进行深入研究。大多数异常检测技术是针对某些应用域的专门开发的，而其他检测技术则更为通用。在这项调查中，我们探讨了基于图的算法在复杂分布式异质系统中识别和减轻不同类型异常的重要潜力。我们的主要重点是在分布在复杂分布式系统上的异质计算设备上应用时，可深入了解图。这项研究分析，比较和对比该领域的最新研究文章。首先，我们描述了现实世界分布式系统的特征及其在复杂网络中的异常检测的特定挑战，例如数据和评估，异常的性质以及现实世界的要求。稍后，我们讨论了为什么可以在此类系统中利用图形以及使用图的好处。然后，我们将恰当地深入研究最先进的方法，并突出它们的优势和劣势。最后，我们评估和比较这些方法，并指出可能改进的领域。

图神经网络（GNN）在图形分类和多样化的下游现实世界应用方面取得了巨大成功。尽管他们成功了，但现有的方法要么仅限于结构攻击，要么仅限于本地信息。这要求在图形分类上建立更一般的攻击框架，由于使用全球图表级信息生成本地节点级的对抗示例的复杂性，因此面临重大挑战。为了解决这个“全局到本地”问题，我们提出了一个通用框架CAMA，以通过层次样式操纵图形结构和节点特征来生成对抗性示例。具体而言，我们利用Graph类激活映射及其变体来产​​生与图形分类任务相对应的节点级的重要性。然后，通过算法的启发式设计，我们可以借助节点级别和子图级的重要性在不明显的扰动预算下执行功能和结构攻击。在六个现实世界基准上攻击四个最先进的图形分类模型的实验验证了我们框架的灵活性和有效性。

基于图的异常检测已被广泛用于检测现实世界应用中的恶意活动。迄今为止，现有的解决此问题的尝试集中在二进制分类制度中的结构特征工程或学习上。在这项工作中，我们建议利用图形对比编码，并提出监督的GCCAD模型，以将异常节点与正常节点的距离与全球环境（例如所有节点的平均值）相比。为了使用稀缺标签处理场景，我们通过设计用于生成合成节点标签的图形损坏策略，进一步使GCCAD成为一个自制的框架。为了实现对比目标，我们设计了一个图形神经网络编码器，该编码器可以在消息传递过程中推断并进一步删除可疑链接，并了解输入图的全局上下文。我们在四个公共数据集上进行了广泛的实验，表明1）GCCAD显着且始终如一地超过各种高级基线，2）其自我监督版本没有微调可以通过其完全监督的版本来实现可比性的性能。