尽管深度神经网络在图形分析方面取得了巨大的成功，但最近的工作表明它们容易受到对抗攻击的影响。与对图像分类的对抗性攻击相比，在图形上执行对抗性攻击更具挑战性，因为图形的相邻矩阵的离散性和非差异性质。在这项工作中，我们提出了集群攻击 - 对节点分类的图形注射攻击（GIA），该攻击将假节点注入原始图中，以使某些受害者节点的图形神经网络（GNN）的性能退化，同时将其他节点视为其他节点几乎没有。我们证明，GIA问题可以等效地作为图形聚类问题。因此，可以在图形聚类的上下文中解决邻接矩阵的离散优化问题。特别是，我们建议通过对受害者漏洞度量来衡量受害者节点之间的相似性，这与受害者节点将如何受到注入的假节点的影响有关，并相应地将受害者节点群集成。我们的攻击是以实用且不明显的基于查询的黑盒方式进行的，图表上只有几个节点可以访问。理论分析和广泛的实验通过仅使用少量查询来欺骗节点分类器，证明了我们方法的有效性。

图形神经网络（GNNS）在各种现实世界应用中取得了有希望的性能。然而，最近的研究表明，GNN易受对抗性发作的影响。在本文中，我们研究了关于图表 - 图 - 图注射攻击（GIA）的最近引入的现实攻击情景。在GIA场景中，对手无法修改输入图的现有链路结构和节点属性，而是通过将逆势节点注入到它中来执行攻击。我们对GIA环境下GNN的拓扑脆弱性分析，基于该拓扑结构，我们提出了用于有效注射攻击的拓扑缺陷图注射攻击（TDGIA）。 TDGIA首先介绍了拓扑有缺陷的边缘选择策略，可以选择与注入的原始节点连接。然后，它设计平滑功能优化目标，以生成注入节点的功能。大规模数据集的广泛实验表明，TDGIA可以一致而明显优于攻击数十个防御GNN模型中的各种攻击基线。值得注意的是，来自TDGIA的目标GNNS上的性能下降比KDD-CUP 2020上的数百个提交所带来的最佳攻击解决方案所带来的损坏多于两倍。

图表神经网络，一种流行的模型，在各种基于图形的学习任务中有效，已被证明易受对抗攻击的影响。虽然大多数文献侧重于节点级分类任务中的这种脆弱性，但很少努力致力于分析对图形级分类的对抗攻击，这是生物化学和社会网络分析等众多现实生活应用的重要问题。少数现有方法通常需要不切实际的设置，例如访问受害者模型的内部信息，或者是一个不切实际的查询。我们提出了一种新型贝叶斯优化的攻击方法，用于图形分类模型。我们的方法是黑匣子，查询效率和涉及扰动的效率和解析。我们经验验证了所提出的方法对涉及不同图形属性，约束和攻击方式的图形分类任务的效果和灵活性。最后，我们分析了产生的对手样本后面的常见可解释模式，这可能会在图形分类模型的对抗鲁棒性上流出进一步的光。

Graph Neural Networks (GNNs) have been widely applied to different tasks such as bioinformatics, drug design, and social networks. However, recent studies have shown that GNNs are vulnerable to adversarial attacks which aim to mislead the node or subgraph classification prediction by adding subtle perturbations. Detecting these attacks is challenging due to the small magnitude of perturbation and the discrete nature of graph data. In this paper, we propose a general adversarial edge detection pipeline EDoG without requiring knowledge of the attack strategies based on graph generation. Specifically, we propose a novel graph generation approach combined with link prediction to detect suspicious adversarial edges. To effectively train the graph generative model, we sample several sub-graphs from the given graph data. We show that since the number of adversarial edges is usually low in practice, with low probability the sampled sub-graphs will contain adversarial edges based on the union bound. In addition, considering the strong attacks which perturb a large number of edges, we propose a set of novel features to perform outlier detection as the preprocessing for our detection. Extensive experimental results on three real-world graph datasets including a private transaction rule dataset from a major company and two types of synthetic graphs with controlled properties show that EDoG can achieve above 0.8 AUC against four state-of-the-art unseen attack strategies without requiring any knowledge about the attack type; and around 0.85 with knowledge of the attack type. EDoG significantly outperforms traditional malicious edge detection baselines. We also show that an adaptive attack with full knowledge of our detection pipeline is difficult to bypass it.

最近的研究证明，图形神经网络容易受到对抗性攻击的影响。攻击者可以仅依靠培训标签来破坏Edge扰动不可知论受害者模型的性能。研究人员观察到，基于显着性的攻击者倾向于添加边缘而不是删除它们，这是通过以下事实来解释的：添加边缘通过聚集来污染节点的特征，同时删除边缘只会导致一些信息丢失。在本文中，我们进一步证明了攻击者通过添加类间边缘来扰动图，这也表现为降低扰动图的同层。从这个角度来看，基于显着的攻击者仍然有提高能力和不可识别的空间。基于GNN的替代模型的消息传递导致通过类间边缘连接的节点的过度厚度，从而阻止了攻击者获得节点特征的独特性。为了解决此问题，我们引入了一个多跳的汇总消息传递，以保留节点之间的属性差异。此外，我们提出了一个正规化术语来限制同质方差，以增强攻击不可识别。实验验证我们提出的替代模型改善了攻击者的多功能性，正则化项有助于限制扰动图的同质性。

图神经网络（GNN）在图形分类和多样化的下游现实世界应用方面取得了巨大成功。尽管他们成功了，但现有的方法要么仅限于结构攻击，要么仅限于本地信息。这要求在图形分类上建立更一般的攻击框架，由于使用全球图表级信息生成本地节点级的对抗示例的复杂性，因此面临重大挑战。为了解决这个“全局到本地”问题，我们提出了一个通用框架CAMA，以通过层次样式操纵图形结构和节点特征来生成对抗性示例。具体而言，我们利用Graph类激活映射及其变体来产​​生与图形分类任务相对应的节点级的重要性。然后，通过算法的启发式设计，我们可以借助节点级别和子图级的重要性在不明显的扰动预算下执行功能和结构攻击。在六个现实世界基准上攻击四个最先进的图形分类模型的实验验证了我们框架的灵活性和有效性。

图表卷积网络（GCNS）由于图形学习任务的优异性能，因此引起了感兴趣的激增，但也显示出对抗对抗攻击的脆弱性。在本文中，研究了有效的曲线图结构攻击以破坏傅立叶域中的图形光谱滤波器。我们基于图拉普拉斯的特征值来定义光谱距离，以测量光谱滤波器的破坏。然后，我们通过同时最大化任务特定的攻击目标和所提出的光谱距离来生成边缘扰动。实验表明，在训练和测试时间都表现出拟议的攻击中所提出的攻击的显着效果。我们的定性分析显示了攻击行为与谱分布的强加变化之间的连接，这提供了最大化光谱距离的经验证据是改变空间域中图形结构的结构特性和傅立叶中的频率分量的有效方式领域。

事实证明，图形神经网络（GNN）在图形结构数据的几个预测建模任务中已被证明。在这些任务中，链接预测是许多现实世界应用（例如推荐系统）的基本问题之一。但是，GNN不能免疫对抗攻击，即精心制作的恶意例子，旨在欺骗预测模型。在这项工作中，我们专注于对基于GNN的链接预测模型进行特定的白盒攻击，其中恶意节点的目的是出现在给定目标受害者的推荐节点列表中。为了实现这一目标，攻击者节点还可以指望它直接控制的其他现有同伴的合作，即在网络中注入许多``vicious''节点的能力。具体而言，所有这些恶意节点都可以添加新的边缘或删除现有的节点，从而扰乱原始图。因此，我们提出了野蛮人，一种新颖的框架和一种安装这种链接预测攻击的方法。野蛮人将对手的目标制定为一项优化任务，从而达到了攻击的有效性与所需的恶意资源的稀疏之间的平衡。在现实世界和合成数据集上进行的广泛实验表明，通过野蛮人实施的对抗性攻击确实达到了很高的攻击成功率，但使用少量恶性节点。最后，尽管这些攻击需要完全了解目标模型，但我们表明它们可以成功地转移到其他黑框方法以进行链接预测。

链接预测，推断图形的未发现或潜在链接，被广泛应用于现实世界中。通过促进图表的标记链接作为训练数据，已经研究了许多基于深度学习的链接预测方法，与非深度方法相比，它们具有主导的预测准确性。但是，恶意制作的训练图的威胁将在深层模型中留下特定的后门，因此，当一些特定的示例被馈入模型时，它将做出错误的预测，定义为后门攻击。这是当前文献中忽略的重要方面。在本文中，我们促使后门攻击对链接预测的概念，并提出链接 - 背门以揭示现有链接预测方法的训练漏洞。具体而言，链接 - 贝克门将假节点与目标链接的节点结合在一起，形成触发器。此外，它通过目标模型的梯度信息来优化触发器。因此，在后排数据集中训练的链接预测模型将预测与目标状态触发的链接。在五个基准数据集和五个表现良好的链接预测模型上进行的广泛实验表明，链接 - 贝克门都在白色框（即目标模型参数可用）和黑色框下实现了最新的攻击成功率。框（即目标模型参数不可用）方案。此外，我们在防御性情况下作证了攻击，结果表明，链接 - 背部门仍然可以成功构建对表现良好的链接预测方法的成功攻击。代码和数据可在https://github.com/seaocn/link-backdoor上获得。

机器学习模型被证明是面对模型提取攻击的严重威胁，其中服务提供商拥有的训练有素的私人模型可以被假装作为客户端的攻击者窃取。不幸的是，先前的作品侧重于欧几里德空间训练的模型，例如图像和文本，而如何提取包含图形结构的GNN模型，则尚未探索节点功能。本文首次全面调查并开发针对GNN模型的模型提取攻击。我们首先通过考虑由攻击者获得的节点的不同背景知识，将对冲威胁分类为七种类别的威胁建模并将对抗性威胁分类为七个类别。然后我们展示了利用每种威胁中的可访问知识来实现​​攻击的详细方法。通过评估三个现实世界数据集，我们的攻击显示有效提取重复模型，即目标域中的84％ - 89％的输入具有与受害者模型相同的输出预测。

图边缘扰动致力于通过修改图形结构来损害图神经网络的预测。以前的灰色框攻击者采用替代模型的梯度来定位脆弱的边缘以扰动图形结构。但是，图形结构上的梯度存在不可靠性，这是先前工作很少研究的。在本文中，我们讨论并分析了由结构梯度的不可靠性引起的错误。这些误差是由于图形结构的离散性以及图形结构上元梯度的不可靠性引起的粗糙梯度使用。为了解决这些问题，我们提出了一种新的攻击模型，该模型采用减少结构梯度内部错误的方法。我们提出Edge离散抽样以选择与分层候选选择相关的边缘扰动，以确保计算效率。此外，提出了语义不变性和动量梯度集合，以解决语义增强图上的梯度波动以及替代模型的不稳定性。实验是在未靶向的灰色盒中毒场景中进行的，并证明了我们方法的性能的改善。

图形卷积网络（GCN）已显示出容易受到小型对抗扰动的影响，这成为严重的威胁，并在很大程度上限制了其在关键安全场景中的应用。为了减轻这种威胁，大量的研究工作已致力于增加GCN对对抗攻击的鲁棒性。但是，当前的防御方法通常是为整个图表而设计的，并考虑了全球性能，在保护重要的本地节点免受更强的对抗性靶向攻击方面面临着挑战。在这项工作中，我们提出了一种简单而有效的方法，名为Graph Universal对抗防御（Guard）。与以前的作品不同，Guard可以保护每个单独的节点免受通用防御贴片的攻击，该节点是一次生成的，可以应用于图中的任何节点（节点-Agnostic）。在四个基准数据集上进行的广泛实验表明，我们的方法可显着提高几种已建立的GCN的鲁棒性，以针对多种对抗性攻击，并且胜过大幅度的最先进的防御方法。我们的代码可在https://github.com/edisonleeeeee/guard上公开获取。

节点注入对图神经网络（GNN）的攻击已作为一种实际的攻击场景而引起了人们的注意，攻击者会注入恶意节点，而不是修改节点功能或边缘以降低GNN的性能。尽管节点注射攻击最初取得了成功，但我们发现，通过防御方法，可以通过防御方法和限制其在实践中限制其攻击性能，从而很容易将注射的节点与原始正常节点区分开。为了解决上述问题，我们致力于伪装节点注入攻击，即伪装注入恶意节点（结构/属性）是对防御方法似乎合理/不察觉的普通淋巴结。图形数据的非欧亚人性质和缺乏人类的先验性质给伪装上伪装的形式化，实施和评估带来了巨大挑战。在本文中，我们首先提出并制定了从注射节点围绕的自我网络的忠诚度和多样性中注入的节点的伪装。然后，我们为节点注射攻击（即Cana）设计了一个对抗性伪装框架，以改善伪装，同时确保攻击性能。进一步设计了几种用于图形伪装的新型指标，以进行全面的评估。实验结果表明，当将现有的节点注入攻击方法与我们提出的CANA框架配置时，针对防御方法的攻击性能以及节点伪装将显着改善。

许多数据挖掘任务依靠图来模拟个人（节点）之间的关系结构。由于关系数据通常很敏感，因此迫切需要评估图形数据中的隐私风险。对数据分析模型的著名隐私攻击是模型反转攻击，该攻击旨在推断培训数据集中的敏感数据并引起极大的隐私问题。尽管它在类似网格的域中取得了成功，但直接应用模型反转攻击（例如图形）导致攻击性能差。这主要是由于未能考虑图的唯一属性。为了弥合这一差距，我们对模型反转攻击对图神经网络（GNNS）进行了系统研究，这是本文中最新的图形分析工具之一。首先，在攻击者可以完全访问目标GNN模型的白色框设置中，我们提出GraphMi来推断私人训练图数据。具体而言，在GraphMi中，提出了一个投影梯度模块来应对图边的离散性并保持图形特征的稀疏性和平滑度。图形自动编码器模块用于有效利用边缘推理的图形拓扑，节点属性和目标模型参数。随机采样模块最终可以采样离散边缘。此外，在攻击者只能查询GNN API并接收分类结果的硬标签黑框设置中，我们根据梯度估计和增强学习（RL-GraphMI）提出了两种方法。我们的实验结果表明，此类防御措施没有足够的有效性，并要求对隐私攻击进行更先进的防御能力。

Deep learning on graph structures has shown exciting results in various applications. However, few attentions have been paid to the robustness of such models, in contrast to numerous research work for image or text adversarial attack and defense. In this paper, we focus on the adversarial attacks that fool the model by modifying the combinatorial structure of data. We first propose a reinforcement learning based attack method that learns the generalizable attack policy, while only requiring prediction labels from the target classifier. Also, variants of genetic algorithms and gradient methods are presented in the scenario where prediction confidence or gradients are available. We use both synthetic and real-world data to show that, a family of Graph Neural Network models are vulnerable to these attacks, in both graph-level and node-level classification tasks. We also show such attacks can be used to diagnose the learned classifiers.

对图形的对抗攻击对图形机器学习（GML）模型的鲁棒性构成了重大威胁。当然，攻击者和捍卫者之间存在一场易于升级的军备竞赛。但是，在相同和现实的条件下，双方背后的策略往往不相当。为了弥合这一差距，我们展示了Graph稳健性基准（GRB），其目的是为GML模型的对抗鲁棒性提供可扩展，统一，模块化和可重复的评估。 GRB将攻击和防御过程标准化1）开发可扩展和多样化的数据集，2）模块化攻击和防御实现，以及统一精细方案中的评估协议。通过利用GRB管道，最终用户可以专注于具有自动数据处理和实验评估的强大GML模型的开发。为了支持对图形对抗性学习的开放和可重复研究，GRB还遍布不同方案的公共排行榜。作为起点，我们对基准基线技术进行了广泛的实验。 GRB是开放的，欢迎社区的贡献。数据集，代码，排行榜可在https://cogdl.ai/grb/home获得。

图形神经网络（GNNS）在许多图形挖掘任务中取得了巨大的成功，这些任务从消息传递策略中受益，该策略融合了局部结构和节点特征，从而为更好的图表表示学习。尽管GNN成功，并且与其他类型的深神经网络相似，但发现GNN容易受到图形结构和节点特征的不明显扰动。已经提出了许多对抗性攻击，以披露在不同的扰动策略下创建对抗性例子的GNN的脆弱性。但是，GNNS对成功后门攻击的脆弱性直到最近才显示。在本文中，我们披露了陷阱攻击，这是可转移的图形后门攻击。核心攻击原则是用基于扰动的触发器毒化训练数据集，这可以导致有效且可转移的后门攻击。图形的扰动触发是通过通过替代模型的基于梯度的得分矩阵在图形结构上执行扰动动作来生成的。与先前的作品相比，陷阱攻击在几种方面有所不同：i）利用替代图卷积网络（GCN）模型来生成基于黑盒的后门攻击的扰动触发器； ii）它产生了没有固定模式的样品特异性扰动触发器； iii）在使用锻造中毒训练数据集训练时，在GNN的背景下，攻击转移到了不同​​的GNN模型中。通过对四个现实世界数据集进行广泛的评估，我们证明了陷阱攻击使用四个现实世界数据集在四个不同流行的GNN中构建可转移的后门的有效性

隐私性和解释性是实现值得信赖的机器学习的两种重要成分。我们通过图形重建攻击研究了图机学习中这两个方面的相互作用。这里的对手的目的是重建给定模型解释的训练数据的图形结构。根据对手可用的不同种类的辅助信息，我们提出了几种图形重建攻击。我们表明，事后功能解释的其他知识大大提高了这些攻击的成功率。此外，我们详细研究了攻击性能相对于三种不同类别的图形神经网络的解释方法的差异：基于梯度，基于扰动和基于替代模型的方法。虽然基于梯度的解释在图形结构方面显示最多，但我们发现这些解释并不总是在实用程序上得分很高。对于其他两类的解释，隐私泄漏随着解释实用程序的增加而增加。最后，我们提出了基于随机响应机制的防御，以释放大大降低攻击成功率的解释。我们的匿名代码可用。

许多真实数据以图形的形式出现。图表神经网络（GNNS）是一个新的机器学习（ML）模型，已建议完全利用图表数据来构建强大的应用程序。特别地，可以概括到看不见的数据的电感GNN成为主流。机器学习模型在各种任务中表现出很大的潜力，并已在许多真实情景中部署。要培训良好的模型，需要大量的数据以及计算资源，从而导致有价值的知识产权。以前的研究表明，ML模型容易窃取攻击模型，旨在窃取目标模型的功能。然而，大多数人都专注于用图像和文本接受培训的模型。另一方面，对于用图表数据，即GNNS接受培训的模型，已经支付了很少的注意。在本文中，我们通过提出针对电感GNN的第一个模型窃取攻击来填补差距。我们系统地定义了威胁模型，并根据对手的背景知识和目标模型的响应提出六次攻击。我们对六个基准数据集的评估显示，拟议的模型窃取针对GNN的攻击实现了有希望的性能。

从消息传递机制中受益，图形神经网络（GNN）在图形数据上的繁荣任务上已经成功。但是，最近的研究表明，攻击者可以通过恶意修改图形结构来灾难性地降低GNN的性能。解决此问题的直接解决方案是通过在两个末端节点的成对表示之间学习度量函数来建模边缘权重，该指标函数试图将低权重分配给对抗边缘。现有方法使用监督GNN学到的原始功能或表示形式来对边缘重量进行建模。但是，两种策略都面临着一些直接问题：原始特征不能代表节点的各种特性（例如结构信息），而受监督的GNN学到的表示可能会遭受分类器在中毒图上的差异性能。我们需要携带特征信息和尽可能糊状的结构信息并且对结构扰动不敏感的表示形式。为此，我们提出了一条名为stable的无监督管道，以优化图形结构。最后，我们将精心设计的图输入到下游分类器中。对于这一部分，我们设计了一个高级GCN，可显着增强香草GCN的鲁棒性，而不会增加时间复杂性。在四个现实世界图基准上进行的广泛实验表明，稳定的表现优于最先进的方法，并成功防御各种攻击。