全球财经|信也科技两篇论文成功收录至国际顶级学术会议AAAI 2022，图对抗攻击中的“矛”与“盾近日

近日，由人工智能领域的主要学术组织之一 Association for the Advance of Artificial Intelligence(国际人工智能促进协会)主办的年会，也是人工智能国际顶级学术会议之一AAAI 2022以线上虚拟会议的形式召开。信也科技(NYSE:FINV)算法智能团队与浙江大学杨洋副教授团队、美国加州大学洛杉矶分校(UCLA)孙怡舟教授团队合作的两篇论文均被该会议收录。
AAAI是人工智能领域中历史最悠久、涵盖内容最广泛的国际顶级学术会议之一，也是中国计算机学会(CCF)推荐的人工智能领域A级国际学术会议之一。据了解，本届会议收到来自全球的 9215 篇投稿论文，而接受率仅为 15% ，创历史新低。信也科技大数据团队与国内外知名教授合作的两篇论文被该会议成功收录，标志着信也科技在人工智能领域的研究进程中取得了重要的阶段性成果。
随着人工智能算法日益广泛的应用，算法的鲁棒性和安全性，受到越来越多的关注，这也是AAAI2022的热点议题之一。信也科技本次发表的两篇论文正是围绕图数据的对抗攻击，两篇论文分别研究图对抗攻击中的矛与盾：在攻击层面，研究表明，即使在攻击者仅知道目标模型是一个图模型，而没有任何其他模型信息且无法与模型做任何互动的情况下，依然有可能展开有效的攻击;在防御层面，研究面向图模型预训练框架的无监督鲁棒表示学习算法，通过一套防御策略便能有效阻断攻击者对各个不同下游任务造成的影响。
此次会议中,信也科技在名为《Blindfolded Attackers Still Threatening: Strict Black-Box Adversarial Attacks on Graphs》的论文中展示了其在针对图模型的严格黑盒对抗攻击中得到的成果，打碎了原有的幻像：只要完美地保护好模型就能拦截住所有类型的攻击。事实上哪怕攻击者对模型一无所知，也是有可能发起有效攻击的。
据论文研究，根据攻击者所能掌握的关于图模型的知识量，可以把攻击分为五类(如表1) 。其中，本文提出了一种更接近实际情况的攻击方式——严格黑盒图攻击(STACK) ，也就是攻击者对被攻击的模型一无所知，也无法通过查询模型来获取更多信息。相比于人脸识别等强互动的场景，这种情况在规则复杂的金融场景尤其常见。这也是本文的第一个重要贡献。

图片
表1：不同的图对抗攻击，按照攻击者是否掌握模型的全部 (√ ), 有限 (◯), 或者没有 (×)信息来分类
STACK攻击策略能在更接近真实场景的情况下去模拟和预估受攻击的危害，但同时也带来很大的挑战。首先，绝大部分已有的图攻击策略都是为特定模型设计的，无法拓展到严格黑盒攻击的设定下。因此，第一个挑战是需要为各种各样的图模型找到一个共同的基石。其次，现有的方法总是需要用模型的预测结果或者替代模型的反馈去衡量攻击的影响。因此，第二个挑战是需要在没有来自被攻击模型的任何反馈的情况下，有效的定量并且高效的计算图攻击的强度。

图片
图1：针对图模型的严格黑盒对抗攻击概况
本文的第二个贡献是，针对这两方面挑战，提出了一个通用的图滤波器，适用于各种图模型，并且推导出了一个高效的攻击策略来选择对抗的图数据边(如图1) 。在此基础上，本文的第三个贡献是，通过大量实验验证：即使当攻击者对被攻击模型一无所知时，在节点分类和图分类这两类图数据最重要的应用场景上，模型效果都会因为攻击而大幅下降。
由信也科技发表的另外一篇题为《Unsupervised Adversarially Robust Representation Learning on Graphs》中，更将研究视角转向了面向图数据的无监督对抗鲁棒表示学习。
无监督/自监督的图预训练模型近几年受到了众多关注，并且可以推广到各种不同的下游应用中。然而，图预训练模型的对抗鲁棒性仍未被充分探索。该论文中提出，在无监督的图预训练框架中(如图2) ，使用鲁棒的图编码器就能够有效防止对抗风险传播到下游任务中，并且图编码器学习得到的鲁棒图表征可以适用于不同的下游应用中，比如节点分类、链接预测和社区识别等。

图片
图2：对抗攻击下的图预训练概览。如果图编码器易受攻击，对抗风险会通过受到扰动的图表征转导到每个下游任务。