近期,实验室人工智能研究团队在人工智能领域图对抗鲁棒学习研究中取得了重要进展。
图神经网络(GNN)作为人工智能领域中的重要研究方向,因其在图数据建模任务上的卓越表现而备受研究者们的青睐。随着人工智能(AI)系统在各个领域的深入应用,确保其可信度和安全性变得尤为重要。在这一背景下,提升神经网络的对抗鲁棒性逐渐成为研究热点,吸引了众多学者。研究者们已经针对现有的GNN模型提出了多种攻击策略,在这些攻击方式中,黑盒攻击因其高度的隐蔽性和对现实应用场景的适应性,被认为是最具挑战性和实用价值的攻击类型。然而,尽管黑盒攻击在理论上具有显著的优势,但在实际应用中仍面临着一些挑战。例如,攻击过程中所选择的节点可能缺乏代表性,导致攻击效果不尽如人意。
图1 图节点分类的对抗攻击框架
针对上述问题,研究团队提出了一种创新的基于节点投票机制的黑盒对抗攻击策略。我们的目标是针对图节点分类模型,通过精心设计的攻击流程,最大化模型的损失函数,从而有效降低图节点分类模型的准确性,如公式(1)所示。
经过深入的理论分析和推导,我们发现在图神经网络(GNN)中,对节点特征进行修改所引起的损失变化与节点投票矩阵存在密切关联。值得注意的是,节点投票矩阵主要受到图拓扑结构的影响,而与GNN的具体结构设计无直接关联。基于这一发现,我们得出如下重要的结论。
这一结论揭示了图拓扑结构在GNN对抗攻击中的核心作用,为设计更加有效的防御策略提供了新的视角。同时,这也意味着我们可以在不依赖于GNN模型架构的前提下,利用图的拓扑结构来增强模型的鲁棒性,这对于提高GNN的鲁棒性具有积极影响。
图2 节点投票机制
在对抗攻击的图节点分类问题中,我们将整个过程被划分为两个阶段:首先是节点选择阶段,其次是节点特征攻击阶段。第一阶段,我们利用节点投票机制(详见图2)来识别并选择全局重要性的节点。这一机制基于我们之前的理论分析,能够有效地从图中筛选出对GNN性能影响最大的关键节点,并将这些节点构成一个攻击集合,为后续的攻击行动奠定基础。第二阶段,我们通过结合图数据的领域知识,选择每个节点的Top-k个重要的特征。在这一阶段,我们专注于修改攻击节点集合中每个节点的这Top-k个关键特征,以此来实现对图节点分类模型的有效攻击。通过这种方式,我们不仅能够精确地针对模型的弱点进行攻击,还能够确保攻击行为的隐蔽性和有效性。
图3 基于节点投票机制的对抗攻击框架
我们的研究在多个公开数据集上进行实验比较,包括Citeseer、Cora、Pubmed、CoraFull以及ogbn-arxiv。结果显示,我们提出的基于节点投票机制的黑盒对抗攻击方法在破坏图神经网络(如GCN和GAT模型)的性能方面,相较于其他对抗攻击手段,具有显著的优势。这一发现突显了神经网络模型在对抗攻击面前的脆弱性,这种脆弱性在很大程度上限制了它们在各种实际应用场景中的广泛部署。我们提出的对抗攻击框架对于推动图对抗鲁棒学习领域的研究具有重要的促进作用。通过深入理解攻击手段和策略,研究人员可以设计出更加鲁棒的图神经网络模型,从而提高AI系统在面对潜在威胁时的安全性和可靠性。
相关成果《Black-Box Adversarial Attack on Graph Neural etworks with Node Voting Mechanism》被IEEE Transactions on Knowledge and Data Engineering(TKDE, 2024)录用。该论文通讯作者为梁吉业教授,第一作者为2020级博士生温亮亮,合作者为姚凯旋讲师、王智强副教授。研究工作得到det365网页版、科技创新2030-“新一代人工智能”重大项目、国家自然科学基金重点项目的支持。
TKDE是全球最负盛名的人工智能期刊之一,同时也被中国计算机学会(CCF)推荐为人工智能领域的A类期刊,该期刊专注于知识工程和数据工程领域,包括机器学习、数据挖掘等前沿研究主题。