防御。。。。
(1)Structure-Preserving Progressive Low-rank Image Completion for Defending Adversarial Attacks
深度神经网络通过分析局部图像细节并沿着推理层总结其信息来识别目标,从而得出最终的决策。正因为如此,它们容易受到对抗性的攻击。输入图像中的小而复杂的噪声会沿着网络推理路径累积,并在网络输出中产生错误的决策。另一方面,人眼是基于物体的整体结构和语义线索来识别物体的,而不是基于图像的局部纹理。正因为如此,人眼仍然可以清楚地从图像中识别出被敌方攻击严重损坏的物体。这就引出了一种非常有趣的方法来保护深层神经网络免受对抗性攻击。在本研究中,我们提出一种保持结构的渐进式低秩图像补全(SPLIC)方法,以去除输入图像中不需要的纹理细节,并改变深度神经网络对全局对象结构和语义线索的偏见。为了避免优化过程中的局部极小值,我们将问题转化为一个具有渐进平滑秩函数的低秩矩阵补全问题。实验结果表明,该方法能够成功地去除局部图像的不重要细节,同时保留全局目标的重要结构。对于黑盒、灰盒和白盒攻击,我们的方法优于现有防御方法(高达12.6%),显著提高了网络的对抗鲁棒性。
(1.1)An Efficient Blurring-Reconstruction Model to Defend Against Adversarial Attacks
尽管深度神经网络在许多领域都得到了广泛的应用,但它们很容易被对抗性的例子所欺骗,这些例子是通过对自然图像添加难以察觉的扰动而产生的。直观上,传统的去噪方法可以去除添加的噪声,但去噪时不可避免地会去除原有的有用信息。受图像超分辨率的启发,我们提出了一种新的模糊重建方法来抵御对抗攻击,该方法包括模糊和重建两个阶段。当图像模糊时,我们首先使用改进的双边滤波器(我们称之为其他通道辅助双边滤波器(OCABF))来消除扰动,然后使用基于双线性插值的降采样来将图像调整到四分之一大小。然后,在重建阶段,我们设计了深度超分辨率神经网络SrDefense-Net来恢复自然细节。它将模糊后的降采样图像放大到与原始图像相同的大小,并对丢失的信息进行补充。大量实验表明,该方法在减少训练图像需求的同时,性能优于现有的防御方法
(1.2)War: An Efficient Pre-processing Method for Defending Adversarial Attacks
深度神经网络(DNNs)在图像分类等许多领域都取得了非凡的成就。然而,它们很容易受到通过对输入图像进行轻微扰动而产生的敌对例子的影响,从而导致不正确的分类结果。由于对抗性实例的严重威胁,有必要寻找一种简单实用的方法来抵御对抗性攻击。在本文中,我们提出了一种有效的预处理方法,称为War (WebP压缩和调整操作),用于防范对抗性实例。首先对输入样例执行WebP压缩,以消除敌对样例中难以察觉的干扰。然后,适当调整压缩图像的大小,以进一步破坏对抗扰动的特定结构。最后,得到了一个干净的样本,可以被模型正确分类。大量实验表明,我们的方法比最先进的防御方法性能更好。在保证对正常样本的分类准确率略有下降的同时,可以有效地防御对抗性攻击。此外,它只需要特别短的预处理时间。
(1.3)Defending Adversarial Attacks via Semantic Feature Manipulation
机器学习模型已经证明了对敌对攻击的脆弱性,更具体地说,对敌对例子的错误分类。在本文中,我们提出了一种一次性的、与攻击无关的特征操作(FM)-防御,以可解释和有效的方式检测和净化对抗的例子。直觉上,正常图像的分类结果通常能够抵抗非显著的内在特征变化,例如手写数字的厚度变化。相反,对抗性的例子对这种变化是敏感的,因为扰动缺乏可转移性。为了实现对特征的操作,我们采用组合变分自编码器来学习揭示语义特征的解纠缠潜码。通过改变和重建潜在码而得到的抗分类变化的变异,被用来检测可疑的输入。此外,通过考虑类共享和类独特的特性,增强了combo-VAE以较好的质量净化对抗性实例。实验证明了该方法的有效性和纯化样品的质量。我们在三个数据集上的实验表明,FM-Defense可以检测到近100%的由不同的最先进的对抗攻击产生的对抗例子。对关闭正常样本流形的可疑样本的整体净化精度达到99%以上。
(1.4)Blacklight: Defending Black-Box Adversarial Attacks on Deep Neural Networks
深度神经网络(DNNs)对敌对例子的脆弱性已被充分证明。在强大的白盒威胁模型下,攻击者可以完全访问DNN的内部,最近的工作在防御方面取得了持续的进步,通常随后会出现更强大的攻击来破坏它们。与此同时,对更真实的黑盒威胁模型的研究几乎完全集中在降低攻击的查询成本上,这使得它们对于目前已经部署的ML模型越来越实用。提出并评价了一种新的黑盒对抗攻击防御系统Blacklight。Blacklight针对的是黑盒攻击的一个关键属性:为了计算敌对的例子,它们生成高度相似的图像序列,同时试图最小化与某些初始良性输入的距离。为了检测攻击,Blacklight为每个查询图像计算一组紧凑的单向散列值,这些值形成一个概率指纹。不同的图像会产生几乎相同的指纹,而且指纹生成对操纵具有鲁棒性。我们对黑光进行了5次最先进的黑盒攻击评估,涉及各种模型和分类任务。虽然最有效的攻击需要数千或数万个查询才能完成,但Blacklight通常只需要几个查询就能识别所有这些查询。Blacklight还可以有效地对抗几种强大的对抗措施,包括效率接近白盒攻击的最佳黑盒攻击。最后,Blacklight在攻击查询的检测覆盖率和抵抗持续攻击方面的性能都显著优于唯一已知的替代方案。
(1.5)Defending Against Adversarial Attacks by Suppressing the Largest Eigenvalue of Fisher Information Matrix
提出了一种通过抑制Fisher信息矩阵(FIM)的最大特征值来抵御对抗性攻击的方案。我们的出发点是对对抗性例子的基本原理的一种解释。基于良性样本与敌对样本的差值由欧氏范数度量,而良性样本与敌对样本在网络最后一层(softmax)的分类概率密度差值由Kullback-Leibler (KL)散度度量,解释表明,输出差值是输入差值的二次形式。如果这种二次型(又称FIM)的特征值很大,那么即使输入差异很小,输出差异也会很大,这就解释了对抗性现象。通过控制FIM的特征值,使对抗性防御成为可能。我们的解决方案是在原网络的损失函数中增加一项代表FIM轨迹的项,因为最大特征值以轨迹为界。利用MNIST、CIFAR-10和德国交通标志识别基准(German Traffic Sign Recognition Benchmark, GTSRB)数据集,利用LeNet、VGG和ResNet等典型深度神经网络的多种常见攻击方法,对该防御方案进行了实验验证。我们的新网络在采用新的损失函数并进行再训练后,降低了生成的对抗性例子的欺骗率,保持了原网络的分类准确率,具有了有效的、鲁棒的防御能力。
(2)Towards Defending against Adversarial Examples via Attack-Invariant Features
深度神经网络(DNNs)很容易受到敌对噪声的影响。它们的对抗健壮性可以通过利用对抗的例子来改进。然而,考虑到不断演化的攻击,在已知类型的对抗例子上训练的模型通常不能很好地概括为不可见类型的对抗例子。为了解决这一问题,本文提出通过学习跨攻击的可归纳不变特征来消除对抗噪声,以保持语义分类信息。具体地说,我们引入了一种对抗特征学习机制来从对抗噪声中分离不变特征。在攻击不变特征的编码空间中提出了一个规范化术语,以解决可见和不可见攻击类型之间的偏差问题。经验评估表明,与以前的先进方法相比,我们的方法可以提供更好的保护,特别是针对看不见的攻击类型和自适应攻击
(2.1)Defending Deep Learning-Based Biomedical Image Segmentation from Adversarial Attacks: A Low-Cost Frequency Refinement Approach
深度学习在医学图像分割中表现出卓越的性能和效率。然而,最近社区还发现了第一个实际的对抗例子,该算法致力于基于深度学习的误导性生物医学图像分割模型。生成的面向分割的对抗性实例虽然几乎难以被人眼识别,但总是会产生目标不正确的分割预测,且具有很高的交叉-过并(IoU)率,严重影响了这一新兴技术在医疗诊断任务中的安全使用。另一方面,在医学图像分割的背景下,防御这种新兴攻击的研究还很缺乏。在这项工作中,我们首次尝试开发一种低成本和有效的基于投入转换的防御技术。为了最大化对抗样本的防御效率(或恢复的分割结果),同时最小化良性样本在防御后分割性能的损失,我们提出了一种新的基于图像压缩的细粒度频率细化(FR)引导的防御方法。在各种深度学习分割模型上的大量实验结果表明,我们的防御可以提供非常高的防御效率,在ISIC皮肤损伤分割挑战和青光眼视盘分割问题上,良性图像的分割性能损失非常小。为了进一步验证我们的方法的有效性,我们也将我们的评价扩展到图像分类模型。我们展示了我们的恢复分割预测的影响,通过我们的防御对疾病预测在对抗设置。
(2.2)RLXSS: Optimizing XSS Detection Model to Defend Against Adversarial Attacks Based on Reinforcement Learning
随着人工智能的发展,机器学习算法和深度学习算法被广泛应用于攻击检测模型中。针对人工智能模型的对抗性攻击,缺乏针对攻击防御的跨站脚本攻击检测模型的研究,成为不可避免的问题。设计一种能够有效改进攻击检测模型的方法是非常重要的。在本文中,我们提出了一种基于强化学习(RLXSS)的方法,旨在优化XSS检测模型,以防御对抗性攻击。首先,利用基于强化学习的对抗攻击模型挖掘检测模型的对抗样本;其次,检测模型和对抗模型交替训练。每一轮后,将新挖掘出的敌对样本标记为恶意样本,用于对检测模型进行再训练。实验结果表明,所提出的RLXSS模型能够成功地挖掘出不受黑盒和白盒检测并保留攻击性特征的对抗样本。通过交替训练检测模型和对抗攻击模型,不断降低检测模型的逃逸率,说明该模型可以提高检测模型抵御攻击的能力。
(2.3)Defending against Whitebox Adversarial Attacks via Randomized Discretization
对抗性扰动极大地降低了最先进的图像分类器的准确性。在本文中,我们提出并分析了一种简单且计算效率高的防御策略:注入随机高斯噪声,离散每个像素,然后将结果输入任何预先训练的分类器。从理论上讲,我们证明了我们的随机离散化策略减少了原始输入和敌对输入之间的KL分歧,从而导致针对任何(潜在的白盒子)有L界的敌对攻击,任何分类器的分类精度有一个下界。从经验上讲,我们通过强大的迭代PGD攻击生成的对抗性例子来评估我们的防御。在ImageNet上,我们的防御比对手训练的网络更强大,并赢得了NIPS 2017对抗性攻击的防御&防御竞争。
(2.4)Defending Against Adversarial Attacks Using Random Forest、
随着深度神经网络(dnn)的日益重要和普及,dnn的健壮性是保证网络和物理世界安全的关键。不幸的是,最近的一些研究表明,很难与真实例子区分的对抗性例子,可以很容易地欺骗dnn,操纵他们的预测。我们注意到对抗实例大多是基于梯度的方法生成的,在本文中,我们首先提出使用一个简单但非常有效的不可区分混合模型,结合dnn和随机森林,而不是对攻击者隐藏梯度,以抵御攻击。实验结果表明,该模型能够成功、完整地防御白盒攻击,可移植性较低,对三种具有代表性的黑盒攻击具有较强的抵抗能力;同时,我们的模型达到了与原始dnn相似的分类精度。最后,我们调查并提出了一个标准来定义在dnn中随机森林生长的位置。
(2.5)Defense-Net: Defend Against a Wide Range of Adversarial Attacks through Adversarial Detector
最近的研究表明,深度神经网络(DNNs)很容易受到对抗性输入扰动的影响:精心设计的轻微扰动可能导致有效图像的不恰当分类。对抗性训练是近年来较为成功的防御方法之一。在本研究中,我们提出一种替代对抗性训练的方法,即用一个单独的对抗性例子来训练模型,而不是原来的分类器。我们使用强大的对手训练一个名为“Defense-Net”的对抗检测器网络,同时只使用干净的训练数据训练原始分类器。提出了一种新的对抗性交叉熵损失函数来训练防御网络对不同对抗性实例的适当区分。防御网解决了发展一个成功的对抗性防御方法的三个主要问题。首先,与传统的基于对抗性训练的防御相比,我们的防御没有明显的数据精度退化。其次,我们通过对MNIST和CIFAR-10数据集的实验证明了这种弹性,并表明在已知最强大的白箱攻击下,MNIST的最新准确率从94.02%提高到了99.2%,而CIFAR-10的准确率从47%提高到了94.79%。最后,与最近的防御不同,我们的方法没有模糊梯度,可以成功地防御强大的BPDA, PGD, FGSM和C &W攻击。
(2.6)Defending Against Universal Attacks Through Selective Feature Regeneration
深度神经网络(DNN)的预测已经被证明是容易受到精心设计的对抗性扰动的。具体来说,添加到任何图像上的图像不可知(普遍对抗)扰动可以欺骗目标网络做出错误的预测。现有的防御策略大多在图像领域工作,我们提出了一种新的防御,该防御在DNN特征领域工作,有效地防御这种普遍的扰动。我们的方法识别了最易受敌对噪声影响的预训练卷积特征,并部署了可训练特征再生单元,将DNN滤波器激活转化为抗普遍扰动的弹性特征。在最多6个DNN层中,只生成前50%的敌对敏感激活,并保持所有剩余的DNN激活不变,我们在恢复准确率方面比现有的防御策略在不同网络架构中的表现要好10%以上。我们表明,在没有任何附加修改的情况下,我们在ImageNet上使用一种类型的通用攻击示例训练的防御可以有效地防御其他类型的看不见的通用攻击。
(2.7)A Computationally Efficient Method for Defending Adversarial Deep Learning Attacks
近年来,对深度学习算法的依赖显著增加。然而,这些模型在对抗攻击中非常脆弱,这些攻击会在测试数据中引入视觉上难以察觉的干扰,从而导致错误分类。文献中提出了几种对付这种对抗性攻击的方法,但是每种方法要么在高扰动值下失败,要么需要过多的计算能力,或者两者都有。本文提出了一种计算效率高的方法,通过同时去噪和压缩数据来抵御快速梯度符号(FGS)的对抗攻击。具体来说,我们提出的防御依赖于训练一个完全连接的多层去噪自动编码器(DAE),并使用其编码器作为对抗攻击的防御。我们的结果表明,使用该降维方案不仅可以有效地缓解多个威胁模型中的FGS攻击,而且与对同一攻击提供类似鲁棒性的防御策略相比,它提供了2.43倍的加速。
(3)Defending Against Adversarial Attacks in Deep Learning with Robust Auxiliary Classifiers Utilizing Bit Plane Slicing
深度神经网络(DNNs)已广泛应用于各个领域,并取得了巨大的成功。然而,最近的研究表明,dnn容易受到敌对攻击,这可以很容易地欺骗训练有素的dnn,而不被人眼检测到。本文提出将目标DNN模型与鲁棒位平面分类器相结合,以防御对抗性攻击。我们发现成功的攻击会产生难以察觉的扰动,这些扰动主要影响干净图像像素值的低阶位。因此,使用位面代替传统的RGB信道进行卷积可以有效降低信道修改率。我们在CIFAR-10和GTSRB数据集上进行了实验。结果表明,在CIFAR-10攻击下,该防御方法能在不牺牲干净图像精度的情况下,有效地将模型的平均准确率从8.72%提高到85.99%。
(4)Defending Black Box Facial Recognition Classifiers Against Adversarial Attacks
防御对抗性攻击是实现可靠部署深度学习授权的生物识别验证解决方案的关键一步。当前的黑盒模型防御方法使用黑盒的分类准确性作为验证其防御的性能指标。然而,分类精度本身并不是判断结果图像是否“无对抗性”的可靠指标。这对于在线生物特征验证应用来说是一个严重的问题,因为输入图像的真实情况是未知的,因此我们不能计算分类器的准确性或知道图像是否“无对抗性”。提出了一种新的黑盒防御框架,该框架使用迭代对抗图像净化器,其性能通过贝叶斯不确定性在循环中不断验证。所提出的方法是(i)模型不可知的,(ii)可以将单步黑盒防御转化为迭代防御,(iii)具有拒绝对抗性实例的能力。在MS-Celeb数据集上的实验结果表明,该方法能够对各种不同扰动范围的攻击进行一致的对抗实例检测和净化/拒绝。
(5)Ensemble Generative Cleaning With Feedback Loops for Defending Adversarial Attacks
深度神经网络对抗攻击的有效防御仍然是一个具有挑战性的问题,特别是在强大的白盒攻击下。本文提出了一种基于反馈回路的集成生成式清洗(EGC-FL)方法,对深度神经网络进行有效防御。所提出的EGC-FL方法基于两个中心思想。首先,我们在防御网络中引入一个变换的死区层,该死区层由一个正交变换和一个基于死区的激活函数组成,以破坏对手攻击的复杂噪声模式。其次,通过构建带有反馈环路的生成式清洁网络,我们能够生成对原始清洁图像的各种估计的集成。然后我们学习一个网络来融合这组不同的估计一起恢复原始图像。我们大量的实验结果表明,我们的方法在白盒和黑盒攻击中都大大提高了技术水平。在SVHN数据集和具有挑战性的CIFAR-10数据集上,它显著提高了对次优方法的白盒PGD攻击的分类准确率,分别提高了29%和39%以上
Evolving Robust Neural Architectures to Defend from Adversarial Attacks
神经网络很容易对稍微修改过的输入图像进行错误分类。近年来,人们提出了许多改进神经网络鲁棒性的方法,但没有一种方法能始终如一地提高神经网络的鲁棒性。在这里,我们建议使用对抗性攻击作为一个功能评估,以搜索神经架构可以自动抵抗这种攻击。从文献中对神经结构搜索算法的实验表明,尽管它们是准确的,但在寻找鲁棒的结构方面是值得注意的。一个重要的原因是他们有限的搜索空间。通过创建一种新颖的神经结构搜索,可以选择将密集层与卷积层连接,反之亦然,并且在搜索中添加连接层,我们能够进化出一种对于对抗样本天生准确的架构。有趣的是,这种进化体系结构固有的健壮性与最先进的防御(如对抗训练)相抗衡,而只在非对抗样本上进行训练。此外,进化的体系结构利用了一些特殊的特性,这些特性可能有助于开发更健壮的体系结构。因此,本文的结果证实了更健壮的体系结构的存在,并为神经网络的发展和探索开辟了一个新的可行性领域。
Defending Against Localized Adversarial Attacks on Edge-Deployed Monocular Depth Estimators
单幅图像深度估计是计算机视觉中一个重要的场景理解任务。随着深度学习和卷积神经网络的出现,在这项任务中已经实现了惊人的高精度。随着模型优化技术的进步,可以将这些模型部署在边缘设备上,从而在机器人、漫游者、无人机甚至自动驾驶汽车等关键安全应用中进行有效的深度估算。然而,这些模型很容易受到恶意对手的攻击,这些攻击的目的是通过添加微小的扰动来扭曲模型的输出,使其看起来像一个干净的图像。在现实世界的场景中,最可能的攻击是对抗补丁,它可以被打印出来并用作针对深度学习模型的物理对抗攻击。在单目深度估计的情况下,我们发现小的敌对补丁,范围从0.7%到5%的图像大小,极大地恶化了模型性能。因此,必须使用防御机制使这些模型变得健壮,以抵御恶意输入,同时又不降低干净图像的性能。此外,防御机制必须具有计算效率,以便对边缘设备进行实时推断。在本研究中,我们提出了在边缘设备上单目深度估计的情况下,针对回归网络的对抗补丁的第一个防御机制。该防御机制在Raspberry Pi 3 Model B上只增加了38毫秒的开销时间,在干净图像上保持性能,同时在对抗输入上也实现了接近干净图像水平的性能。
Mixup Inference: Better Exploiting Mixup to Defend Adversarial Attacks
已经被广泛认可的对抗性例子可以很容易地设计来欺骗深层网络,这主要来源于局部非线性行为附近的输入例子。在训练中引入混合训练实例之间的全局线性行为,为提高模型的泛化性能和鲁棒性提供了一种有效的机制。然而,在以前的工作中,混合训练模型只是通过直接分类输入被动地防御对抗性攻击,其中诱导的全局线性没有得到很好的利用。即,由于对抗性扰动的局部性,通过模型预测的全局性主动打破局部性会更有效。受简单几何直觉的启发,我们开发了一个推理原理,名为混合推理(MI),用于混合训练模型。MI将输入与其他随机干净样本混在一起,如果输入是敌对的,它可以收缩和传递等效扰动。我们在CIFAR-10和CIFAR-100上的实验表明,MI可以进一步提高混合及其变量训练的模型的对抗鲁棒性。
Defending and Harnessing the Bit-Flip Based Adversarial Weight Attack
近年来,一种新的基于量化神经网络权值的对抗攻击范式引起了人们的广泛关注,即基于位翻转的对抗权值攻击。Bit-Flip攻击(论坛)。BFA显示出了非凡的攻击能力,对手可以通过对一小组脆弱的权重位(例如,9300万比特8位量化ResNet-18中的13比特)进行恶意位翻转,使量化深度神经网络(DNN)作为随机猜测而失效。然而,目前还没有有效的防御方法来提高DNN对这种BFA的容错能力。在本研究中,我们对BFA进行了全面的研究,并提出了利用二值化感知训练及其放松分段聚类作为简单有效的BFA对策。实验表明,BFA要实现相同的预测精度退化(如CIFAR-10在11%以下),在ResNet-20和vg -11上需要比无防御对等体分别多19.3和480.1个有效的恶意位反转。
图神经网络的对抗攻击防御
UAG: Uncertainty-aware Attention Graph Neural Network for Defending Adversarial Attacks
随着基于图的学习的日益普及,图神经网络(gnn)成为从图中获取见解的重要工具。然而,与已经被广泛探索和彻底测试的传统cnn不同,人们仍然担心gnn在金融服务等关键设置下的鲁棒性。其主要原因是现有的gnn在预测时通常是一个黑盒子,没有提供预测的不确定性。另一方面,贝叶斯深度学习在CNN上的最新进展证明了其在量化和解释这些不确定性方面的成功,从而强化了CNN模型。基于这些观察结果,我们提出了UAG,这是第一个通过识别和利用gnn中的层次不确定性来防御对gnn的敌对攻击的系统解决方案。UAG开发了一种贝叶斯不确定性技术来明确捕获gnn中的不确定性,并进一步采用不确定性感知注意技术来防御对gnn的敌对攻击。密集的实验表明,我们提出的防御方法的性能明显优于最先进的解决方案。
All You Need Is Low (Rank): Defending Against Adversarial Attacks on Graphs
最近的研究表明,像深度学习这样的机器学习方法很容易被对抗性攻击所欺骗。最近,一项极具影响力的研究检查了对抗性攻击对图数据的影响,并证明了图嵌入技术也容易受到对抗性攻击。社交媒体上的虚假用户和虚假产品评论是图形数据中扰动的例子,它们是所提出的对抗式模型的现实对应。图被广泛地应用于各种领域,开发抗攻击的鲁棒的图分析技术是非常重要的。Nettack是最近对图形数据产生对抗性攻击的研究之一。在欺骗图卷积网络(GCN)模型方面,网络攻击模型已经被证明是非常成功的。Nettack也可用于其他节点分类方法,例如节点嵌入。在本文中,我们探讨了网络扰动的性质,以寻找有效的防御它们。我们的第一个发现是,Nettack在图的频谱中展示了一个非常具体的行为:只有图的高秩(低值)奇异分量受到影响。在此基础上,我们证明了仅使用顶部奇异分量进行重构的图的低秩近似,可以大大减少neattack的影响,并在面对对抗性攻击时提高GCN的性能。结果表明,在CiteSeer数据集上,我们提出的防御机制能够将neattack的成功率从98%降低到36%。此外,我们还证明了基于张量的节点嵌入(默认情况下将图投射到一个低秩子空间)对于Nettack扰动是鲁棒的。最后,我们提出了一种低秩对抗性攻击LowBlow,它能够影响GCN和基于张量的节点嵌入的分类性能,并且我们证明了低秩攻击是明显的,而使其不明显导致高秩攻击。
GNNGuard: Defending Graph Neural Networks against Adversarial Attacks
图的深度学习方法在许多任务上取得了显著的性能。然而,尽管这类方法大量涌现并取得了成功,最近的研究结果表明,即使是最强和最流行的图神经网络(gnn),对图结构的微小、不明显的扰动也会灾难性地降低性能。在这里,我们开发了GNNGuard,这是一种通用的防御方法,用于防御各种干扰离散图结构的训练时间攻击。GNNGuard可以直接合并到任何GNN中。它的核心原理是检测并量化图结构和节点特征之间的关系(如果存在的话),然后利用这种关系来减轻攻击的负面影响。GNNGuard学习如何最好地为连接相似节点的边分配更高的权值,同时修剪不相关节点之间的边。修正后的边缘允许底层GNN在图中稳健地传播神经信息。GNNGuard引入了两种新的组件,邻域重要性估计和分层图存储,我们通过经验证明这两种组件是成功防御的必要条件。通过5种gnn、3种防御方法和4个数据集(包括一个具有挑战性的人类疾病图),实验表明,GNNGuard的平均性能比现有防御方法高出15.3%。值得注意的是,GNNGuard能够有效地恢复gnn在面对各种敌对攻击(包括目标攻击和非目标攻击)时的最新性能,并能够抵御针对异构图的攻击。
DefenseVGAE: Defending against Adversarial Attacks on Graph Data via a Variational Graph Autoencoder
图神经网络(gnn)在处理图数据的任务中表现卓越。然而,最近的研究表明,它们非常容易受到对抗性结构扰动的影响,这使得它们的结果不可靠。在本文中,我们提出了DefenseVGAE,一个利用变分图自动编码器(VGAEs)来保护gnn免受此类攻击的新框架。DefenseVGAE被训练来重建图形结构。重建的邻接矩阵可以减少对抗性扰动的影响,提高GCNs在面对对抗性攻击时的性能。我们在多个数据集上的实验表明了该方法在各种威胁模型下的有效性。在某些情况下,它优于现有的防御策略。我们的代码已经在这个https URL上公开可用