论文链接:https://arxiv.org/abs/2207.00012

1. 研究动机

近年来,得益于消息传递机制,图神经网络(GNN)在大量基于图数据的任务上取得了卓越的成效,尤其是半监督节点分类任务。然而,最新的研究表明,GNN在对抗攻击面前是极为脆弱的,尤其是结构扰动。攻击者只需要对图结构进行微小的篡改就能使的模型分类性能大大下降。

模型的对抗鲁棒性(Adversarial Robustness)在一些security-critical的任务上至关重要,例如欺诈交易检测,欺诈者可以在金融交易图中,通过刻意的和普通用户建立交易关系,来隐藏自己的真实意图。

最直观的提高GNN鲁棒性的方法是对干扰连边进行侦测,找出潜在的扰动并将其删除或者降低对模型的影响。其中一种代表性方法是基于一个pair-wise function \phi(z_i, z_j)ϕ(zi​,zj​) 计算任意两个节点 i,ji,j 之间的权值,进而给整个邻接矩阵计算出一个权重矩阵(Weights Matrix),最终基于这个Matrix决定一条边在图中的去留,达到优化图结构的目的。

先前的pair-wise function的方法更多的关注如何设计一个巧妙的function来得到一个更准确地Weights Matrix,总体上可以分为两类:

  • Feature-based: 这类方法用节点的原始特征去计算 \phiϕ ,代表方法有GCN-Jaccard,GNNGuard等
  • Representation-based: 这类方法用基于监督信号获取的representation去计算 \phiϕ ,代表方法有GRCN等

但这两类方法一定的缺陷,下面是一个在Cora数据集上用MetaAttack进行不同扰动率下攻击的结果。feature-based的方法在扰动率较低的时候,表现甚至不如Vanilla GCN,表现出了明显的performance和robustness的trade-off,这是由于基于特征优化图结构丢失了图中的拓扑信息,在扰动率较低的时候,基于特征删除的正常连边的负面影响大于了删除干扰边的正面影响,从而出现了这个trade-off;另一方面,基于监督信号获取的representation的方法在扰动率较高的时候性能下降明显,这是因为分类器直接受到攻击算法攻击,可以认为基于下游任务学到的representation的治疗和下游任务的表现强相关,在扰动较高的时候质量较低,用于低质量表征优化结构自然很难得到高质量的图结构。

因此,我们认为这类方法的关键也许不在function的设计,而在于得到一个在对抗攻击场景下可靠的表征用于优化结构,我们定义可靠的表征应有以下特点:

  • 携带特征信息的同时,包含尽可能多的正确的结构信息
  • 与下游任务无关,并对结构扰动不敏感

基于此我们提出了一套无监督的pipeline-STABLE,用于结构优化

内容中包含的图片若涉及版权问题,请及时与我们联系删除