【论文学习】图神经网络对抗攻击顶会论文汇总（2018-2021年）_adversarial attacks on graph neural networks via m

图对抗攻击

在信贷领域，结合贷款人的金钱交易来评估他的信用情况，人与人的交易记录就是用图来表示。
对于图来说，特征往往是离散的（例如图的结构特征，一条边要么存在，要么不存在）。
对于图来说，很难定义图上的微小扰动。
在图像对抗攻击领域，通常是在训练好的模型上输入扰动图片使其预测错误evasion attack，但是在图对抗攻击领域是让扰动后的图上重训练的模型性能变差，这种攻击被称为投毒攻击。

图卷积网络

图卷积网络被用来解决半监督结点分类问题。

经典的论文

（1）Adversarial Attacks on Neural Networks for Graph Data

KDD18的best paper，是图对抗攻击的开山之作。研究的是属性图上针对某个结点的结点分类攻击。通过对图（加边，减边），对结点属性（加属性，减属性），使得结点分类错误。
定义扰动代价：（1）对于一张图而言，最重要的是degree distribution。如果原图和扰动图都属于同一分布的采样，那么这两张图在结构上就是不可分辨的。采用log likelihood。（2）结点属性的扰动代价，特征的共现关系，在原图中从未共现的特征在扰动图中出现了。对于与大量其他特征共现的特征，要削弱它的加权贡献。

（2）Adversarial Attacks on Graph Neural Networks via Meta Learning

ICLR19论文，与KDD18的论文出自同一个团队。这篇文章研究对模型整体分类性能的攻击（侧重于测试集结果）。上一篇文章固定了模型的权重参数，没有考虑到bi-level优化问题（对于投毒攻击而言，扰动后模型参数要重新训练。）
由于