【论文阅读】图对抗攻击研究综述

一、文章信息概述

1.文章概述

本文是一篇关于图对抗攻击的综述类的文章，且为中文，适合入门阅读。

2.论文来源

3.作者/团队介绍

二、论文笔记整理

1.对抗攻击算法分类

1.1.白盒攻击/黑盒攻击

根据攻击者对目标模型的了解，分为：
白盒攻击：攻击者完全了解模型信息的情况下进行的攻击。（真实环境中，模型或者训练集可能是不公开的，所以白盒攻击较少）
黑盒攻击：攻击者部分了解甚至完全不了解目标模型情况下进行的攻击。

1.2.逃逸攻击/投毒攻击

根据攻击发生的不同阶段，分为：
逃逸攻击：发生在模型测试阶段（在进行预测时，对模型进行攻击，导致模型预测时不准确）
投毒攻击：发生在模型训练阶段（在进行训练时，对训练数据进行污染投毒，导致模型训练的不好）

1.3.定向攻击/非定向攻击

根据攻击的目标，分为：
定向攻击：攻击后模型输出指定攻击预设值。
非定向攻击：攻击后模型输出任意错误值。
【理解：猫、狗、鸡、鸭4个分类，原来实际是猫，我要求错误分类成鸡，这是定向攻击；只要分类不是猫，那这是非定向攻击】

1.4.拓扑攻击/特征攻击/混合攻击

根据攻击方式，分为：
拓扑攻击（结构攻击）：修改图结构进行攻击（如添加节点之间的连边，删除节点之间的连边）。
特征攻击：修改节点特征进行攻击（节点数不变，边数不变，保留了拓扑结构）。
混合攻击：拓扑攻击+特征攻击（综合利用拓扑攻击和特征攻击，如：伪造新节点注入图中，bong添加新节点与原始图中节点之间的边）。

2.攻击算法的应用

节点分类、节点嵌入、链路预测、社团探测、推荐系统、图嵌入、图分类、恶意软件检测

3.图对抗攻击面临的挑战

3.1.应用多样性

目前对图对抗攻击研究比较多的集中在：节点分类和链路预测，而像社团探测、图分类、推荐系统，研究的较少。

3.2.攻击的可扩展性

目前大多数攻击都是针对静态图设计的，如何攻击大规模图、动态图、异构图是个挑战。

3.3.攻击的可转移性

因为训练代理模型时，需要拥有被攻击模型更多的训练集，而训练集有时候并不是公开的，所以如何在较少的样本或者零样本情况下获得对抗样本，是一个重要的研究方向。

3.4.攻击的通用性

能够设计出一种通用的扰动操作、降低扰动设计的代价。
【理解】设计一种同样的扰动，攻击A类图有效，攻击B类图也有效.

3.5.攻击的可行性

现实系统中,攻击模型面临复杂的限制。
①训练数据集并不会公开，只能进行黑盒攻击；而频繁获取被攻击模型的输出，也会引起防御机制的察觉。
②社交网络中，并不能轻易获得与陌生人间连接的许可；在推荐系统中，插入过多虚假的节点，可能会破坏原始图属性引起检测系统的警觉。

3.6.扰动的度量标准

图像的扰动，只要人的肉眼可能难以察觉就可以；但图的扰动，节点和边发生变化，人花费一定时间是会发现在哪儿进行了扰动的。所以如何确定一个度量的标准。