【XAI】Adversarial Defense Framework for Graph Neural Network

简述.

• 发布于 $2019$ 年。
• 针对图神经网络 $\mathrm{G}\mathrm{N}\mathrm{N}$ 的脆弱性 Vulnerability —— 易受攻击。对抗攻击常常具有隐蔽性，并且只需要在图数据的结构、特征上做出微小的修改就能够使得 $GNN$ 以较高的置信度给出错误预测。
• 对抗学习 Adversarial Learning 是增强模型防御能力的有效方法，其做法是在模型的训练阶段以掺杂攻击样本的方式进行数据增强。
• 针对图模型的对抗学习挑战有二，其一是图神经网络的每一层天然具有脆弱特性，注意到图神经网络中的聚合层 Aggregation Layer 会聚合邻居节点的特征来捕捉图结构，这就使得单个节点的预测结果不仅取决于它自身特征，而且会受到邻居节点特征的影响。
• 其二，图数据的离散本质使得生成攻击样本是一个组合优化问题，对攻击样本的生成方法提出了效率和效果的双重挑战。

DefNet.

• $\mathrm{D}\mathrm{e}\mathrm{f}\mathrm{N}\mathrm{e}\mathrm{t}$ 是作者提出的框架，并非具体网络，其原文陈述如下：

An effective framework for defending popular Graph Neural Networks against adverasrial attacks.

• 该框架由两部分组成 —— 精炼编码器 Graph Encoder Refining 和 对抗对比学习 Adversarial Contrastive Learning. 前者针对原生 $\mathrm{G}\mathrm{N}\mathrm{N}$ 中聚合层与感知层 Perceptron Layer 存在的固有脆弱性进行改进；后者采用对抗对比学习的方式来训练 $\mathrm{G}\mathrm{N}\mathrm{N}$，并且引入条件生成对抗网络 Conditional GAN 来解决离散空间中对抗样本的生成问题。
• $\mathrm{D}\mathrm{e}\mathrm{f}\mathrm{N}\mathrm{e}\mathrm{t}$ 的框架如下图所示：
  

Dual-Stage Aggregation.

• 指 $\mathrm{F}\mathrm{i}\mathrm{g}.1$ 中的两种聚合层 —— $\mathrm{A}\mathrm{G}{\mathrm{G}}_{\mathrm{i}\mathrm{n}\mathrm{t}\mathrm{r}\mathrm{a}}$ 和 $\mathrm{A}\mathrm{G}{\mathrm{G}}_{\mathrm{i}\mathrm{n}\mathrm{t}\mathrm{e}\mathrm{r}}.$ 前者对目标节点 $v$ 的邻域采用平均池化的方式来执行聚合，形式化表示如下： a ^ v ( k ) = A G G i n t r a ( { h u ( k − 1 ) ∣ u ∈ N v } ) = 1 ∣ N v ∣ ∑ u ∈ N v h u ( k − 1 ) (1) \hat \bm a_v^{(k)}={\rm AGG_{intra}}\big(\{\bm h_u^{(k-1)}\big|u\in\mathcal N_v\}\big)=\frac1{|\mathcal N_v|}\sum_{u\in\mathcal N_v}\bm h_u^{(k-1)}\tag{1} a^v(k)​=AGGintra​({hu(k−1)​∣∣​u∈Nv​})=∣Nv​∣1​u∈Nv​∑​hu(k−1)​(1)
• 后者对不同层的结果进行聚合，具体方式是简单连接，形式化表示如下：$$\begin{array}{rl}{\mathbf{a}}_v^{(k)}& =\mathrm{A}\mathrm{G}{\mathrm{G}}_{\mathrm{i}\mathrm{n}\mathrm{t}\mathrm{e}\mathrm{r}}({\hat{\mathbf{a}}}_v^{(k)},{\mathbf{h}}_v^{(k-1)},{\mathbf{h}}_v^{(k-2)},\cdots ,{\mathbf{h}}_v^{(1)})\\ & =[{\hat{\mathbf{a}}}_v^{(k)};{\mathbf{h}}_v^{(k-1)};{\mathbf{h}}_v^{(k-2)};\cdots ;{\mathbf{h}}_v^{(1)}]\end{array}\text{\hspace{1em}(2)}$$
• 之所以采用平均池化，是因为相较于求和池化和最大池化，平均池化对于微小的扰动会更具鲁棒性，相当于整个邻域共同承担了扰动。
• 选用简单连接而非直接聚合的理由是防止噪音信息、攻击信息随着每一次迭代的聚合而指数增长。这里用 $\mathrm{G}\mathrm{C}\mathrm{N}$ 和 $\mathrm{G}\mathrm{r}\mathrm{a}\mathrm{p}\mathrm{h}\mathrm{S}\mathrm{A}\mathrm{G}\mathrm{E}$ 为对比，描述了基于 skip-connection 的聚合，$\mathrm{G}\mathrm{r}\mathrm{a}\mathrm{p}\mathrm{h}\mathrm{S}\mathrm{A}\mathrm{G}\mathrm{E}$ 的伪代码如下，黄色标注为聚合：
  

---

Bottleneck Perceptron.

• 回到 $\mathrm{D}\mathrm{e}\mathrm{f}\mathrm{N}\mathrm{e}\mathrm{t}$，$(1),(2)$ 中的隐层向量 ${\mathbf{h}}_v^{(k)}$ 是感知层的输出结果。已有研究表明神经网络脆弱性与输入数据维度成正比，并且真实数据尽管是高维的，但能够很好地执行低维嵌入。因此对于聚合向量 ${\mathbf{a}}_v^{(k)}$ 执行一个降维映射，称其为瓶颈映射 Bottleneck Perceptron，形式化表述如下：$${\mathbf{h}}_v^{(k)}=\mathrm{R}\mathrm{e}\mathrm{L}\mathrm{U}({\mathbf{W}}_p^{(k)}\cdot {\mathbf{a}}_v^{(k)})\text{\hspace{1em}(3)}$$这里 ${\mathbf{h}}_v^{(k)}$ 是单个节点 $v$ 的嵌入表示，对所有节点的表示执行平均池化得到图 $G$ 的嵌入表示 ${\mathbf{h}}_G$，形式化如下：$${\mathbf{h}}_G=\sigma ({\mathbf{W}}_r\cdot \frac{1}{|V|}\sum _{i=1}^{|V|}{\mathbf{h}}_i^{(K)})\text{\hspace{1em}(4)}$$

Adversarial Contrastive Learning.

• 在对抗对比学习 $\mathrm{A}\mathrm{C}\mathrm{L}$ 部分将图嵌入 ${\mathbf{h}}_G$ 作为全局约束来规范节点嵌入学习过程，所谓约束是将 ${\mathbf{h}}_G$ 作为条件。定义 $G_{\theta }$ 是捕捉真实数据分布的生成器，用于生成对抗样本；$D_{\mathbf{W}}$ 为判别器，用于判定样本是来自于真实数据还是生成器 $G_{\theta }.$
• 形式化定义如下：$$D_{\mathbf{W}}({\mathbf{h}}_v|{\mathbf{h}}_G)=\sigma ({\mathbf{h}}_v{\mathbf{W}}_D{\mathbf{h}}_G)\text{\hspace{1em}(5)}$$于是整个对抗对比学习过程的目标函数如下：$$\underset{G}{\min }\underset{D}{\max }{E}_{p^{+}}[\log D_{\mathbf{W}}({\mathbf{h}}_v|{\mathbf{h}}_G)]+E_{g_{\theta }}[\log (1-D_{\mathbf{W}}(G_{\theta }({\mathbf{h}}_v^{\prime }|{\mathbf{h}}_G))\left)\right]\text{\hspace{1em}(6)}$$
• 生成器 $G_{\theta }$ 的目标是让判别器无法分辨出样本是来自于真实数据还是生成器，目标函数中与 $G_{\theta }$ 有关的部分是：$$E_{g_{\theta }}\left[\log \right(1-D_{\mathbf{W}}(G_{\theta }({\mathbf{h}}_v^{\prime }|{\mathbf{h}}_G)))]\text{\hspace{1em}(7.1)}$$因此对于理想的 $G_{\theta }$，$D_{\mathbf{W}}$ 会输出 $1$，认为数据来自于真实分布，而 $\log 0\to -\infty$，因此对于 $G_{\theta }$ 来说需要最小化目标函数，即 ${\min }_G.$
• 判别器 $D_{\mathbf{W}}$ 的目标是正确分辨样本，目标函数中与 $D_{\mathbf{W}}$ 相关的部分是：$$E_{p^{+}}[\log D_{\mathbf{W}}({\mathbf{h}}_v|{\mathbf{h}}_G)]+E_{g_{\theta }}[\log (1-D_{\mathbf{W}}(G_{\theta }({\mathbf{h}}_v^{\prime }|{\mathbf{h}}_G))\left)\right]\text{\hspace{1em}(7.2)}$$对于理想判别器而言，$D_{\mathbf{W}}({\mathbf{h}}_v|{\mathbf{h}}_G)=1,D_{\mathbf{W}}(G_{\theta }({\mathbf{h}}_v^{\prime }|{\mathbf{h}}_G))=0$，这时两个对数部分都为零，因此对于 $D_{\mathbf{W}}$ 来说需要最大化目标函数，即 ${\max }_D.$

实验.

• 实验分为两个部分，第一部分测试 $\mathrm{G}\mathrm{E}\mathrm{R}$ 模块精炼编码器的效果；第二部分测试 $\mathrm{A}\mathrm{C}\mathrm{L}$ 模块使用对抗对比学习策略与其他对比学习策略的差别。

GER.

• 对于 $\mathrm{A}\mathrm{G}{\mathrm{G}}_{\mathrm{i}\mathrm{n}\mathrm{t}\mathrm{r}\mathrm{a}}$ 层，对比不同池化函数的效果，即求和池化、最大池化与平均池化，分别以 sum、max、mean 表示。
• 对于 $\mathrm{A}\mathrm{G}{\mathrm{G}}_{\mathrm{i}\mathrm{n}\mathrm{t}\mathrm{e}\mathrm{r}}$ 层，对比不同跨层连接方式的差异，以无跨层连接和 $\mathrm{G}\mathrm{r}\mathrm{a}\mathrm{p}\mathrm{h}\mathrm{S}\mathrm{A}\mathrm{G}\mathrm{E}$ 中的跳跃连接作为对照，$\mathrm{D}\mathrm{e}\mathrm{f}\mathrm{N}\mathrm{e}\mathrm{t}$ 使用的方式记为稠密连接，分别以 none、skip、dense 表示。
• 对于瓶颈映射部分，分别将映射输出维度设置为低、中、高，对比效果，用 low、mid、high 表示。
• 实验使用分类结果的间隔作为分类器性能衡量标准，即 $label$ 类别和最高置信度错分类别之间的预测概率差值，形式化如下：$$s=Z_v^{\ast }[c]-\underset{c^{\prime }\ne c}{\max }{Z}_v^{\ast }[c^{\prime }]\text{\hspace{1em}(8)}$$可视化结果如下：
• 【$\mathrm{A}\mathrm{G}{\mathrm{G}}_{\mathrm{i}\mathrm{n}\mathrm{t}\mathrm{r}\mathrm{a}}$】
  

---

• 【$\mathrm{A}\mathrm{G}{\mathrm{G}}_{\mathrm{i}\mathrm{n}\mathrm{t}\mathrm{e}\mathrm{r}}$】
  

---

• 【$\mathrm{B}\mathrm{o}\mathrm{t}\mathrm{t}\mathrm{l}\mathrm{e}\mathrm{n}\mathrm{e}\mathrm{c}\mathrm{k}\mathrm{P}\mathrm{e}\mathrm{r}\mathrm{c}\mathrm{e}\mathrm{p}\mathrm{t}\mathrm{r}\mathrm{o}\mathrm{n}$】
  

ACL.

• 对模型进行攻击后测试分类任务准确率，与对抗对比学习进行对照的学习方法是传统学习方法与噪声对比学习。其中模型采用 $\mathrm{G}\mathrm{C}\mathrm{N}$ 和 $\mathrm{G}\mathrm{r}\mathrm{a}\mathrm{p}\mathrm{h}\mathrm{S}\mathrm{A}\mathrm{G}\mathrm{E}$，前缀 $\mathrm{R}$ 表示加入了 $\mathrm{G}\mathrm{E}\mathrm{R}$ 模块，下标 $\mathrm{A}\mathrm{C}\mathrm{L},\mathrm{N}\mathrm{C}\mathrm{L}$ 分别表示对抗对比学习和传统对比学习。
• 实验结果如下：
  

---

---