翟正利，李鵬輝，馮 舒

青島理工大學(xué) 信息與控制工程學(xué)院，山東 青島 266525

近年來，得益于計(jì)算機(jī)計(jì)算能力的提升，大量可用的數(shù)據(jù)集以及算法的創(chuàng)新，深度神經(jīng)網(wǎng)絡(luò)在圖像識別[1]、語義分割[2]、自然語言處理[3]、推薦系統(tǒng)[4]等領(lǐng)域表現(xiàn)出卓越的性能。圖作為一種表示對象及對象之間關(guān)系的數(shù)據(jù)結(jié)構(gòu)，在現(xiàn)實(shí)世界中廣泛存在，如交通網(wǎng)絡(luò)、社交網(wǎng)絡(luò)、通信網(wǎng)絡(luò)等。圖神經(jīng)網(wǎng)絡(luò)[5-7]將基于深度學(xué)習(xí)的方法應(yīng)用于圖數(shù)據(jù)上，通過聚合圖中節(jié)點(diǎn)的鄰域信息學(xué)習(xí)圖數(shù)據(jù)的結(jié)構(gòu)信息和特征信息，在節(jié)點(diǎn)分類、鏈路預(yù)測、圖嵌入等方面得到迅速發(fā)展。

雖然深度神經(jīng)網(wǎng)絡(luò)具有出色的性能，但是近來研究表明，在精心設(shè)計(jì)的微小擾動下，深度神經(jīng)網(wǎng)絡(luò)性能會嚴(yán)重下降[8-9]。例如在圖像分類[10]和文本分類[11]場景下，只需修改少數(shù)像素或文字就可以改變大部分測試數(shù)據(jù)的預(yù)測結(jié)果。作為深度神經(jīng)網(wǎng)絡(luò)在圖數(shù)據(jù)上的應(yīng)用，圖神經(jīng)網(wǎng)絡(luò)也同樣繼承了深度神經(jīng)網(wǎng)絡(luò)的脆弱性[12]，如圖1所示，在圖中添加或刪除少量邊將導(dǎo)致模型產(chǎn)生錯(cuò)誤分類，隨著圖神經(jīng)網(wǎng)絡(luò)在實(shí)際生產(chǎn)環(huán)境的部署應(yīng)用[13]，這種脆弱性引起了學(xué)術(shù)界和工業(yè)界的諸多擔(dān)憂[14]，例如在安全至關(guān)重要的金融系統(tǒng)中，攻擊者可能通過建立與高信用客戶的連接，達(dá)到繞過檢測系統(tǒng)并獲得更高的信用值的目的。

圖1 微小擾動導(dǎo)致節(jié)點(diǎn)的錯(cuò)誤分類

隨著人們對于圖模型安全性的關(guān)注，圖對抗攻擊的研究不斷取得新的進(jìn)展，但與針對傳統(tǒng)深度神經(jīng)網(wǎng)絡(luò)的攻擊相比，針對圖神經(jīng)網(wǎng)絡(luò)的對抗攻擊存在以下挑戰(zhàn)：（1）與圖像等具有連續(xù)特征的歐式空間數(shù)據(jù)不同，圖數(shù)據(jù)的結(jié)構(gòu)信息和特征信息是離散的，因此設(shè)計(jì)有效的攻擊算法更具挑戰(zhàn)性；（2）由于圖數(shù)據(jù)在現(xiàn)實(shí)世界的廣泛存在，使得圖數(shù)據(jù)具有多種類別，同時(shí)，現(xiàn)實(shí)世界的圖可以包含數(shù)以千萬計(jì)的節(jié)點(diǎn)，如社交網(wǎng)絡(luò)等，圖數(shù)據(jù)的多樣性和大規(guī)模性對算法的時(shí)間和空間復(fù)雜度提出了更高的要求；（3）在圖像中，可以使用特定的距離函數(shù)來衡量人眼無法察覺的擾動的大小，而在圖數(shù)據(jù)中，不僅難以定性擾動是否可察覺，而且定量的評估標(biāo)準(zhǔn)也亟待分析研究。

隨著對圖對抗攻擊研究的深入，攻擊理論和模型已經(jīng)得到了迅速的發(fā)展，推動圖對抗攻擊的研究，有助于提高對圖神經(jīng)網(wǎng)絡(luò)的更深層次的理解，提高模型的魯棒性與可解釋性，以促進(jìn)其更廣泛的應(yīng)用。本文對現(xiàn)有圖對抗攻擊研究進(jìn)行全面、系統(tǒng)的介紹，對不同攻擊算法的建模方法進(jìn)行比較和總結(jié)，根據(jù)攻擊算法的不同攻擊策略進(jìn)行分類，并總結(jié)了圖對抗攻擊領(lǐng)域面臨的挑戰(zhàn)以及發(fā)展方向。

1 定義與符號

設(shè)圖G=(A,E)，其中V={v1,v2,…,vn}表示圖中n個(gè)節(jié)點(diǎn)的集合，E表示圖中m條邊的集合，E中每個(gè)元素eij=(vi,vj)表示從節(jié)點(diǎn)vi到節(jié)點(diǎn)vj的邊；使用鄰接矩陣A∈Rn×n表示圖中節(jié)點(diǎn)間的連接，當(dāng)eij∈E時(shí)Aij=1，否則Aij=0；使用X∈Rn×d表示圖G上節(jié)點(diǎn)的特征矩陣，其中Xi∈Rd表示圖中第i個(gè)節(jié)點(diǎn)的d維特征。

未添加擾動的圖稱為原始圖或干凈圖，而添加了擾動ε后的圖稱為擾動圖或?qū)箻颖綠"，擾動ε的上限稱為擾動預(yù)算Δ，使用fθ*表示攻擊者訓(xùn)練得到的結(jié)構(gòu)和性能與被攻擊模型相似的代理模型，表1列示了本文常用符號及含義。

表1 符號及說明

2 圖對抗攻擊概述

根據(jù)攻擊者對目標(biāo)模型的了解，將攻擊分為白盒攻擊和黑盒攻擊，白盒攻擊是指攻擊者完全了解模型信息的情況下進(jìn)行的攻擊，黑盒攻擊則是指攻擊者部分了解甚至完全不了解目標(biāo)模型情況下進(jìn)行的攻擊；根據(jù)攻擊發(fā)生的不同階段，可以將攻擊分為逃逸攻擊和投毒攻擊，其中逃逸攻擊發(fā)生在模型測試階段，而投毒攻擊發(fā)生在模型訓(xùn)練階段[15]；根據(jù)攻擊的目標(biāo)，可以將攻擊分為定向攻擊和非定向攻擊，定向攻擊指攻擊后模型輸出攻擊預(yù)設(shè)值，非定向攻擊指攻擊后模型輸出任意錯(cuò)誤值；根據(jù)攻擊方式可以將攻擊分為拓?fù)涔艉吞卣鞴?，拓?fù)涔敉ㄟ^修改圖結(jié)構(gòu)進(jìn)行攻擊，特征攻擊通過修改節(jié)點(diǎn)特征進(jìn)行攻擊[12]?？偨Y(jié)現(xiàn)有圖對抗攻擊算法，使用以下定義描述圖對抗攻擊：

定義1（圖對抗攻擊）圖對抗攻擊是指通過在圖G上添加微小擾動ε，得到對抗樣本G"，使模型性能大幅度下降：

其中，y表示模型預(yù)測值或標(biāo)簽，fθ"表示攻擊模型，當(dāng)時(shí)表示逃逸攻擊，當(dāng)?=G"時(shí)表示投毒攻擊。給定擾動預(yù)算Δ，使用函數(shù)D衡量擾動圖和原始圖之間的差異，對于圖中擾動量ε通過以下約束保證擾動難以被察覺：

3 攻擊算法

為了便于后續(xù)介紹，本文將圖對抗攻擊算法分為拓?fù)涔?、特征攻擊以及兼具拓?fù)涔艉吞卣鞴舴绞降幕旌瞎羧愡M(jìn)行介紹，表2對比了典型攻擊算法。

3.1 拓?fù)涔?/h3>

拓?fù)涔粢卜Q為結(jié)構(gòu)攻擊，在實(shí)際的攻擊操作中，攻擊者可以通過在圖中添加、刪除節(jié)點(diǎn)間的邊以達(dá)到降低模型性能的目的。

RL-S2V[16]嚴(yán)格限制了攻擊者對目標(biāo)模型的了解，在此種黑盒攻擊設(shè)定下攻擊者不僅不了解模型，同時(shí)還假設(shè)攻擊者無法訪問訓(xùn)練數(shù)據(jù)的標(biāo)簽信息，僅能依靠被攻擊模型的輸出作為反饋來修改圖結(jié)構(gòu)。基于上述假設(shè)，RL-S2V 將Q-learning[17]引入攻擊模型中，把攻擊過程建模為馬爾可夫決策過程（Markov Decision Process，MDP）。

動作at：在圖中添加或刪除邊，同時(shí)采用分層操作降低執(zhí)行此動作的時(shí)間復(fù)雜度。

狀態(tài)st：使用元組(G"t,va)表示t時(shí)刻的狀態(tài)，其中va表示目標(biāo)節(jié)點(diǎn)，G"t表示t時(shí)刻的擾動圖。

獎(jiǎng)勵(lì)函數(shù)r：由于攻擊者的目的是使目標(biāo)節(jié)點(diǎn)va被錯(cuò)誤分類，因此在修改圖的過程中獎(jiǎng)勵(lì)函數(shù)值始終為0，即r(st,at)=0,?t=1,2,…,m"-1，僅在終止時(shí)才獲得獎(jiǎng)勵(lì)：

終止?fàn)顟B(tài)：當(dāng)修改邊的數(shù)量達(dá)到m"時(shí)，算法終止。

與RL-S2V[16]類似，ReWatt[18]同樣將攻擊過程建模為MDP，但ReWatt 采用重連邊作為動作at，具體而言，給定節(jié)點(diǎn)三元組(v0,v1,v2)，刪除v0和v1之間邊的同時(shí)添加連接v0和v2的新邊，保證圖中節(jié)點(diǎn)和邊的總數(shù)不發(fā)生改變，此外，ReWatt使用不同的獎(jiǎng)勵(lì)函數(shù)：

其中，K表示預(yù)定義的重連邊的操作次數(shù)，通過修改百分比p∈(0,1)可以靈活改變攻擊預(yù)算，與RL-S2V 僅在MDP 終止時(shí)獲得獎(jiǎng)勵(lì)不同，ReWatt 在攻擊成功時(shí)獎(jiǎng)勵(lì)正數(shù)得分，而在每次采取動作時(shí)得到負(fù)數(shù)獎(jiǎng)勵(lì)，算法在重連邊次數(shù)達(dá)到K次或成功修改了圖分類模型的輸出標(biāo)簽時(shí)終止。

表2 典型攻擊算法比較

Q-Attack[19]是基于遺傳算法攻擊社團(tuán)探測模型的方法，采用與ReWatt相同的重連邊[18]攻擊策略作為基因編碼，攻擊的次數(shù)作為每個(gè)染色體的長度，并且基于模塊度Q作為適應(yīng)度函數(shù)fit的設(shè)計(jì)基礎(chǔ)：

其中，s是列向量，每個(gè)元素si表示節(jié)點(diǎn)vi的社團(tuán)標(biāo)簽，式表明模塊度越低的個(gè)體其適應(yīng)度越高。EPA[20]為了節(jié)省存儲空間將重連邊的邊編號作為基因編碼，染色體在交叉過程中的長度是可變的，同時(shí)在突變過程中結(jié)合圖的拓?fù)涮卣鬟M(jìn)行搜索，以快速獲得近似最優(yōu)解，其適應(yīng)度函數(shù)由衰減函數(shù)和攻擊效果評估函數(shù)構(gòu)成。

同樣基于遺傳算法的EDA[21]用于攻擊圖嵌入模型，與Q-Attack[19]相同，將重連邊作為基因，適應(yīng)度函數(shù)為：

其中，D(G,G")用于衡量擾動圖和原始圖之間的歐式距離，EDA 的目標(biāo)是最大化嵌入空間中節(jié)點(diǎn)對間的歐式距離。

給定圖G，F(xiàn)GA[22]計(jì)算目標(biāo)節(jié)點(diǎn)的損失函數(shù)值對每對節(jié)點(diǎn)的梯度信息，之后修改梯度絕對值最大的節(jié)點(diǎn)對間的邊，當(dāng)修改邊的數(shù)量到達(dá)擾動預(yù)算時(shí)，將修改后的圖作為對抗樣本。IGA[23]利用圖自動編碼器的梯度信息，進(jìn)行迭代梯度攻擊以破壞鏈路預(yù)測模型，同時(shí)針對不同的實(shí)際環(huán)境可以對攻擊模型進(jìn)行不同限制。Sun等[24]將投影梯度下降（Projected Gradient Descent，PGD）引入圖對抗攻擊中，對無監(jiān)督節(jié)點(diǎn)嵌入算法進(jìn)行投毒攻擊，并在下游鏈路預(yù)測任務(wù)中證明了攻擊的有效性。Xu 等[25]將PGD 用于攻擊節(jié)點(diǎn)分類模型，使用對稱矩陣S={0,1}n×n來表征圖中的邊是否被修改，當(dāng)且僅當(dāng)Sij=Sji=1 時(shí)才修改節(jié)點(diǎn)vi和vj之間的連接，因此可以通過搜索最佳擾動矩陣S得到對抗樣本，并且針對投毒攻擊和逃逸攻擊，分別提出了PGD拓?fù)涔艉蚼in-max拓?fù)涔?。雖然同樣利用梯度信息進(jìn)行攻擊，但Chen等[26]認(rèn)為多數(shù)直接利用模型梯度信息的攻擊算法[12，22-23，25]易陷入局部最優(yōu)解，因此結(jié)合動量法提出了MGA模型，使迭代過程更加穩(wěn)定。

不同于利用模型梯度信息設(shè)計(jì)的攻擊算法，Bojchevski等[27]利用特征值擾動理論評估了基于隨機(jī)游走的節(jié)點(diǎn)嵌入模型的脆弱性，通過在攻擊預(yù)算內(nèi)添加或刪除邊來降低節(jié)點(diǎn)嵌入的質(zhì)量，針對下游節(jié)點(diǎn)分類和鏈路預(yù)測任務(wù)分別采用Aclass和Alink算法進(jìn)行攻擊；GF-Attack[28]使用圖信號處理方法描述圖嵌入，通過攻擊模型的圖濾波器修改邊，同時(shí)利用特征矩陣獲得對抗樣本，并在下游的節(jié)點(diǎn)分類任務(wù)中較RL-S2V和Aclass具有更好的攻擊性能；Wang等[29]從基于協(xié)作分類的圖分類模型出發(fā)，提出了利用LinLBP 生成對抗樣本的攻擊方法，并且實(shí)驗(yàn)證明了此攻擊可以轉(zhuǎn)移到基于圖神經(jīng)網(wǎng)絡(luò)的圖分類模型中。受圖像上通用攻擊[30]的啟發(fā)，Zang等[31]認(rèn)為圖中存在部分“錨節(jié)點(diǎn)”，通過修改“錨節(jié)點(diǎn)”與目標(biāo)節(jié)點(diǎn)的邊使目標(biāo)節(jié)點(diǎn)被錯(cuò)誤分類，而且這些“錨節(jié)點(diǎn)”可以通用于攻擊任何目標(biāo)節(jié)點(diǎn)。

與傳統(tǒng)深度算法將元學(xué)習(xí)用于模型超參數(shù)優(yōu)化相反，Zügner等[32]提出的Metattack將輸入圖數(shù)據(jù)作為超參數(shù)進(jìn)行優(yōu)化以進(jìn)行黑盒設(shè)定下的投毒攻擊：

元梯度▽mateG表示微小擾動下模型訓(xùn)練后的損失Latk的變化。θ*是通過T次迭代獲得的模型參數(shù)：

其中α表示學(xué)習(xí)率，Ltrain表示訓(xùn)練損失。根據(jù)訓(xùn)練過程將元梯度展開可以得到：

為了緩解元梯度計(jì)算和存儲的高代價(jià)，可以利用一階近似和啟發(fā)式算法簡化元梯度的計(jì)算，得到元梯度▽mateG后，采用貪婪策略選擇添加或移除邊。

在針對社交網(wǎng)絡(luò)的攻擊中，CD-Attack[33]首先利用圖神經(jīng)網(wǎng)絡(luò)和歸一化割設(shè)計(jì)社團(tuán)探測代理模型，然后設(shè)計(jì)滿足離散約束的圖生成網(wǎng)絡(luò)，最后利用策略梯度法獲得對抗樣本，CD-Attack 還要求同時(shí)從局部相似度和全局相似度來保證擾動的不可察覺性。為了在社交網(wǎng)絡(luò)中逃避基于相似度的鏈路預(yù)測算法的檢測，DICE[34]同時(shí)刪除和添加節(jié)點(diǎn)間的連接，而基于啟發(fā)式的OTC 和CTR 算法則分別通過添加連接和刪除連接來隱藏社交關(guān)系[35]，并通過實(shí)驗(yàn)證明了：刪除與現(xiàn)有朋友的連接（CTR）相比添加與新朋友的連接（OTC）能提供更好的掩飾性，Zhou等[36]通過刪除邊來最小化目標(biāo)鏈接的相似性，達(dá)到隱藏鏈接的目的。

TGA[37]是針對動態(tài)圖鏈路預(yù)測的第一個(gè)攻擊算法，其利用不同時(shí)刻的深度動態(tài)圖嵌入的梯度信息進(jìn)行重連邊，使目標(biāo)鏈路無法被預(yù)測。與TGA 不同，F(xiàn)an 等[38]提出的動態(tài)圖鏈路預(yù)測攻擊屬于黑盒設(shè)定下的逃逸攻擊，采用基于強(qiáng)化學(xué)習(xí)的算法，其基本策略和ReWatt[18]類似，而獎(jiǎng)勵(lì)函數(shù)用式表示：

其中，函數(shù)h衡量擾動下的鏈路預(yù)測性能，errt表示時(shí)刻t錯(cuò)誤預(yù)測的鏈路數(shù)，n"表示動態(tài)圖序列中擾動圖的數(shù)量。當(dāng)模型在狀態(tài)st+1的性能比狀態(tài)st差時(shí)，獲得正獎(jiǎng)勵(lì)。

3.2 特征攻擊

相較于拓?fù)涔艉突旌瞎?，僅通過修改圖中節(jié)點(diǎn)的特征進(jìn)行特征攻擊的模型較少，但是特征攻擊并不會改變圖中節(jié)點(diǎn)數(shù)，也并不修改節(jié)點(diǎn)間的邊，因此可以保持圖中重要的拓?fù)涮卣鳌?/p>

基于標(biāo)簽傳播算法的思想，Liu 等[39]提出針對基于圖的半監(jiān)督學(xué)習(xí)模型的投毒攻擊的一般框架，并且基于梯度下降設(shè)計(jì)不同的算法用于回歸和分類任務(wù)。

文獻(xiàn)[40]考慮了圖卷積神經(jīng)網(wǎng)絡(luò)（Graph Convolutional Network，GCN）聚合鄰居信息的特性，通過擾動目標(biāo)節(jié)點(diǎn)vi的k(k≥2)階鄰居進(jìn)行攻擊，定義投毒效率來查找擾動節(jié)點(diǎn)：

其中，anc(vi,vj)表示以目標(biāo)節(jié)點(diǎn)vi為根節(jié)點(diǎn)的鄰居樹中vj的祖先節(jié)點(diǎn)集，φ1vi(η)=1。在候選節(jié)點(diǎn)集中選擇投毒效率最高的節(jié)點(diǎn)構(gòu)造特征擾動。

3.3 混合攻擊

混合攻擊可以綜合利用拓?fù)涔襞c特征攻擊的攻擊操作，更進(jìn)一步攻擊者可以偽造新節(jié)點(diǎn)注入圖中，并添加偽造節(jié)點(diǎn)與原始圖中節(jié)點(diǎn)之間的邊。

針對圖數(shù)據(jù)的早期攻擊[41]通過在原始圖中注入節(jié)點(diǎn)和邊攻擊圖聚類算法。Nettack[12]是第一個(gè)在屬性圖上進(jìn)行對抗攻擊的黑盒攻擊模型，在節(jié)點(diǎn)分類任務(wù)中，給定目標(biāo)節(jié)點(diǎn)vi，Nettack的目標(biāo)是通過代理模型，修改圖G尋找對抗樣本G"，使得

其中，Z表示模型輸出的分類概率，yold和y分別是基于圖G和對抗樣本G"得到的va的類別，算法的目標(biāo)是將va的預(yù)測類別yold變?yōu)閥，并使得兩者的對數(shù)概率距離最大化。為了保證擾動的不可察覺性，Nettack 除了保證攻擊滿足等式外，同時(shí)需要保留圖的數(shù)據(jù)特征。Entezari 等[42]進(jìn)一步研究了Nettack[12]擾動，表明其攻擊修改了圖的高階譜，并提出了構(gòu)建低秩矩陣擾動原始圖的LowBlow攻擊方法。

Wang等[43]利用貪婪算法在圖中注入虛假節(jié)點(diǎn)以降低GCN性能，同時(shí)為了保證虛假節(jié)點(diǎn)的特征足夠逼真，利用生成對抗網(wǎng)絡(luò)（Generative Adversarial Network，GAN）思想提出了Greedy-GAN 算法，添加鑒別器使生成節(jié)點(diǎn)特征與原始圖中節(jié)點(diǎn)特征相似。

基于梯度的攻擊在圖像對抗攻擊中應(yīng)用廣泛，典型算法包括利用損失函數(shù)梯度的FGSM（Fast Gradient Sign Method）[44]和模型輸出梯度的JSMA（Jacobianbased Saliency Map Approach）[15]，Wu 等[45]在此基礎(chǔ)上利用積分梯度（Integrated Gradients，IG）解決了圖神經(jīng)網(wǎng)絡(luò)的離散輸入問題，通過式計(jì)算IG得分（以拓?fù)涔魹槔?，特征攻擊可以通過簡單修改獲得），對于定向攻擊，優(yōu)化目標(biāo)是最大化F的值，而非定向攻擊則修改具有高IG得分的節(jié)點(diǎn)特征或邊。

當(dāng)F=L 時(shí)，稱攻擊為IG-FGSM，當(dāng)F=fθ時(shí)，稱攻擊為IG-JSMA。

NIPA[46]是另一種基于強(qiáng)化學(xué)習(xí)的攻擊模型，但與RL-S2V[16]修改原始圖中節(jié)點(diǎn)之間的邊作為動作at構(gòu)建MDP 的方式不同，NIPA 將at定義為虛假節(jié)點(diǎn)注入或在虛假節(jié)點(diǎn)與原始圖中節(jié)點(diǎn)之間添加邊，獎(jiǎng)勵(lì)函數(shù)設(shè)計(jì)為：

其中At表示時(shí)刻t測試集中節(jié)點(diǎn)標(biāo)簽與模型預(yù)測標(biāo)簽不同的節(jié)點(diǎn)數(shù)占測試集中所有節(jié)點(diǎn)的比例。NIPA攻擊方法得到的擾動圖與原始圖在包括基尼系數(shù)和分布熵在內(nèi)的多種屬性上都是相似的。

GTA[47]是首個(gè)針對圖神經(jīng)網(wǎng)絡(luò)的后門攻擊模型，使所有含有觸發(fā)器的輸入被木馬模型fθ"錯(cuò)誤分類。GTA將攻擊中的觸發(fā)器gt定義為子圖，并且針對不同圖定制不同觸發(fā)器。通過給定圖G與觸發(fā)器gt混合得到擾動樣本G"，攻擊的目標(biāo)為：

其中，fθo表示預(yù)訓(xùn)練的圖神經(jīng)網(wǎng)絡(luò)，h表示微調(diào)后的分類器，將帶有觸發(fā)器的對抗樣本錯(cuò)誤分類到指定類別yt，同時(shí)確保原始圖在原始模型和木馬模型中具有相同的分類結(jié)果。Zhang等[48]對圖數(shù)據(jù)上的后門攻擊進(jìn)行了更深入的研究，提出了用于描述后門攻擊的具體參數(shù)，并使用隨機(jī)子圖作為觸發(fā)器以逃避檢測系統(tǒng)。

針對圖神經(jīng)網(wǎng)絡(luò)的不同實(shí)際應(yīng)用，Zhang 等[49]評估了知識圖譜嵌入（Knowledge Graph Embedding，KGE）模型的脆弱性，通過添加或刪除KGE 訓(xùn)練集中特定的知識實(shí)體進(jìn)行投毒攻擊，從而改變目標(biāo)事實(shí)的合理性；HG-Attack[50]是針對惡意軟件檢測系統(tǒng)的攻擊算法，通過注入惡意應(yīng)用程序，使惡意軟件繞過檢測系統(tǒng)被分類為正常應(yīng)用程序；不同于構(gòu)造虛假用戶注入數(shù)據(jù)集攻擊推薦系統(tǒng)[51]，CopyAttack[52]通過復(fù)制源推薦系統(tǒng)的用戶資料，利用強(qiáng)化學(xué)習(xí)選擇和修改用戶資料，得到可用于注入目標(biāo)推薦系統(tǒng)的用戶資料；Fang等[51]證明了即使在部署了檢測虛假用戶的推薦系統(tǒng)中，大部分虛假用戶仍然能夠繞過檢測。

4 圖對抗攻擊面臨的挑戰(zhàn)

雖然圖對抗攻擊已經(jīng)取得諸多進(jìn)展，但在以下方面仍存在挑戰(zhàn)。

（1）應(yīng)用的多樣性：隨著對攻擊算法原理與實(shí)現(xiàn)研究的深入，對于鏈路預(yù)測等任務(wù)的對抗攻擊開始逐步推進(jìn)，但是目前多數(shù)攻擊模型都集中于節(jié)點(diǎn)分類任務(wù)，針對圖分類、推薦系統(tǒng)、社團(tuán)探測等任務(wù)的攻擊模型仍缺乏全面深入的研究，表3總結(jié)了攻擊算法在各種學(xué)習(xí)任務(wù)中的應(yīng)用。

表3 攻擊算法的應(yīng)用

（2）攻擊的可擴(kuò)展性：圖對抗攻擊領(lǐng)域的可擴(kuò)展性是指算法在不同規(guī)模和不同類型的圖上的適用性，具有高擴(kuò)展性的算法通過較少改動甚至無需改動就可以應(yīng)用于大規(guī)?；蚱渌煌愋偷膱D，時(shí)間復(fù)雜度是衡量攻擊算法可擴(kuò)展性的重要方面，表4展示了典型算法的時(shí)間復(fù)雜度，部分文獻(xiàn)設(shè)計(jì)了針對大規(guī)模圖的攻擊[29，43]；針對動態(tài)圖的攻擊上也出現(xiàn)了行之有效的算法[37-38]，但目前多數(shù)攻擊算法都是針對靜態(tài)圖進(jìn)行設(shè)計(jì)的。將攻擊擴(kuò)展到大規(guī)模圖，動態(tài)圖和異構(gòu)圖是仍是具有挑戰(zhàn)性的任務(wù)。

表4 典型攻擊算法的時(shí)間復(fù)雜度

（3）攻擊的可轉(zhuǎn)移性：可擴(kuò)展性主要針對數(shù)據(jù)集的規(guī)模和類型，而可轉(zhuǎn)移性[12，19-24]是指針對一種模型設(shè)計(jì)的對抗樣本也可用于攻擊其他模型，可轉(zhuǎn)移性是多數(shù)黑盒算法設(shè)計(jì)的依據(jù)，利用可轉(zhuǎn)移性設(shè)計(jì)代理模型，得到的對抗樣本使其他模型性能遭到破壞，但是訓(xùn)練代理模型要求擁有被攻擊模型的訓(xùn)練集，如何在少樣本甚至零樣本情況下獲得對抗樣本是一個(gè)重要的研究方向。

（4）攻擊的通用性：指將針對一個(gè)目標(biāo)上進(jìn)行的擾動操作，應(yīng)用于其他目標(biāo)也具有相同或類似的攻擊效果，圖像領(lǐng)域的通用攻擊已經(jīng)取得了重要進(jìn)展[30]，而對圖數(shù)據(jù)通用性攻擊的研究才剛剛起步[31]。能否對所有攻擊目標(biāo)設(shè)計(jì)通用的擾動操作、降低擾動設(shè)計(jì)的代價(jià)，是亟待研究的問題。

（5）攻擊的可行性：在現(xiàn)實(shí)系統(tǒng)中，攻擊模型往往面臨著更多復(fù)雜的限制，而攻擊的可行性取決于攻擊模型架構(gòu)設(shè)置的合理性，主要包括：①攻擊算法假定的對被攻擊模型及數(shù)據(jù)集的了解；②攻擊在真實(shí)環(huán)境中是否可行。多數(shù)黑盒算法[12，32-33，46]假定攻擊者可以利用原始圖數(shù)據(jù)集訓(xùn)練代理模型生成擾動圖，實(shí)際生產(chǎn)環(huán)境中，圖神經(jīng)網(wǎng)絡(luò)的訓(xùn)練數(shù)據(jù)集并不會公開；即使在嚴(yán)格受限的黑盒攻擊設(shè)定下（攻擊者僅能獲取被攻擊模型的輸出）[16，27-28]，頻繁查詢模型的輸出結(jié)果，也將引起防御機(jī)制的察覺，對攻擊算法的限制條件越多，其相應(yīng)的危害也越大；另一方面，白盒攻擊[37，45]的設(shè)定雖然在真實(shí)環(huán)境中并不合理，但是分析目標(biāo)模型在最壞情況下的脆弱性，有助于提到對圖神經(jīng)網(wǎng)絡(luò)的理解。同時(shí)在真實(shí)系統(tǒng)中，并不能保證擾動的有效性和隱蔽性，例如在社交網(wǎng)絡(luò)中，并不能輕易獲得與陌生人間連接的許可[35]；在推薦系統(tǒng)中，插入過多虛假節(jié)點(diǎn)可能會因破壞原始圖屬性[52]引起檢測系統(tǒng)的警覺。

（6）擾動的度量標(biāo)準(zhǔn)：在圖像數(shù)據(jù)中可以通過人眼觀察定性擾動是否可察覺、通過距離函數(shù)定量衡量擾動量大小，但在圖數(shù)據(jù)中由于節(jié)點(diǎn)間的關(guān)聯(lián)性，難以確定擾動是否足夠隱蔽，同時(shí)實(shí)際的擾動操作具有不同的難度，例如在圖中修改現(xiàn)有節(jié)點(diǎn)與注入虛假節(jié)點(diǎn)難度差距較大?，F(xiàn)有算法針對不同場景提出不同的度量標(biāo)準(zhǔn)，缺乏對擾動隱蔽性和擾動難度的系統(tǒng)研究。

5 結(jié)束語

盡管圖神經(jīng)網(wǎng)絡(luò)在多種任務(wù)中都有著出色的表現(xiàn)，但與其他深度學(xué)習(xí)模型一樣易受到微小擾動的損害，導(dǎo)致模型性能的嚴(yán)重下降，引發(fā)安全和隱私問題。本文通過對圖對抗攻擊算法進(jìn)行全面、系統(tǒng)的歸類分析，總結(jié)不同算法的實(shí)現(xiàn)、應(yīng)用及其優(yōu)缺點(diǎn)，并分析了當(dāng)前圖對抗攻擊領(lǐng)域面臨的挑戰(zhàn)，未來的圖對抗攻擊研究包含以下方面：

（1）在更廣泛的學(xué)習(xí)任務(wù)和圖數(shù)據(jù)類型中研究圖對抗攻擊的有效性和適用性，設(shè)計(jì)可以用于多種任務(wù)和圖數(shù)據(jù)類型的攻擊模型，產(chǎn)生與特定任務(wù)無關(guān)的對抗樣本以進(jìn)行更廣泛的攻擊；分析包括異構(gòu)圖、動態(tài)圖等在內(nèi)的復(fù)雜圖數(shù)據(jù)類型的特征，并設(shè)計(jì)行之有效的攻擊算法。

（2）提高算法的效率，目前多數(shù)攻擊模型產(chǎn)生對抗樣本過程中，需要存儲大量梯度信息和圖數(shù)據(jù)的中間狀態(tài)，因此會耗費(fèi)大量計(jì)算和存儲資源，但現(xiàn)實(shí)世界的圖數(shù)據(jù)往往是大規(guī)模和動態(tài)的，因此設(shè)計(jì)算法必須考慮計(jì)算復(fù)雜度。

（3）提高模型的實(shí)用性，算法的實(shí)用性不僅要求算法的有效性和高效性，同時(shí)針對實(shí)際攻擊而言，攻擊者往往受到更多的限制，包括模型與數(shù)據(jù)集的限制，因此在復(fù)雜受限的現(xiàn)實(shí)環(huán)境中進(jìn)行攻擊需要更深入的研究，同時(shí)攻擊算法應(yīng)當(dāng)在更廣泛的數(shù)據(jù)集上進(jìn)行驗(yàn)證。

（4）構(gòu)建統(tǒng)一的圖對抗攻擊算法的綜合評價(jià)體系，縱觀現(xiàn)有圖對抗攻擊，對于擾動量的度量以及模型效果的評價(jià)存在不同標(biāo)準(zhǔn)，需要更加通用的指標(biāo)來度量不可察覺性，完善的指標(biāo)能夠更加全面地衡量算法的優(yōu)劣，提高擾動樣本的可解釋性。