基于改進投影梯度下降算法的圖卷積網(wǎng)絡(luò)投毒攻擊

金柯君，于洪濤，吳翼騰，李邵梅，操曉春

（1.中國人民解放軍戰(zhàn)略支援部隊信息工程大學(xué)信息技術(shù)研究所，鄭州 450000；2.中國科學(xué)院信息工程研究所信息安全國家重點實驗室，北京 100093）

0 概述

圖數(shù)據(jù)具有強大的表達(dá)能力，已經(jīng)成為數(shù)據(jù)挖掘和機器學(xué)習(xí)領(lǐng)域的重要研究對象。圖神經(jīng)網(wǎng)絡(luò)是專門針對圖數(shù)據(jù)設(shè)計的端到端的深度學(xué)習(xí)模型［1］，它可以對語義屬性數(shù)據(jù)和圖數(shù)據(jù)統(tǒng)一表達(dá)建模，從圖數(shù)據(jù)中提取特征以完成許多圖分析任務(wù)，例如，節(jié)點分類［2-3］、鏈路預(yù)測［4-5］、社區(qū)檢測［6-7］等。研究表明，圖神經(jīng)網(wǎng)絡(luò)很容易受到對抗性攻擊的安全威脅［8］，攻擊者只要對圖神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)或?qū)傩蕴卣魇┘游⑿〉臄_動，則會導(dǎo)致圖神經(jīng)網(wǎng)絡(luò)模型誤判并影響其在具體任務(wù)中的表現(xiàn)。文獻［9］研究圖神經(jīng)網(wǎng)絡(luò)的對抗性攻擊問題。之后，圖神經(jīng)網(wǎng)絡(luò)的對抗性攻擊方法的研究逐漸受到研究人員的關(guān)注［10-12］，成為人工智能安全領(lǐng)域的研究熱點。

對抗性攻擊根據(jù)攻擊階段不同分為污染測試數(shù)據(jù)的逃逸攻擊和污染訓(xùn)練數(shù)據(jù)的投毒攻擊［13-15］。投毒攻擊分為數(shù)據(jù)投毒和對抗訓(xùn)練［16］兩個階段，為雙層優(yōu)化問題［17］。在實際應(yīng)用中，圖神經(jīng)網(wǎng)絡(luò)模型受到投毒攻擊后，則更新訓(xùn)練參數(shù)，在參數(shù)更新過程中均會受到擾動的影響。模型的每一輪訓(xùn)練都在“中毒”數(shù)據(jù)的基礎(chǔ)上，而攻擊者的每一輪訓(xùn)練也是基于上一輪模型訓(xùn)練參數(shù)，這是一個循環(huán)嵌套的優(yōu)化過程，即模型會對攻擊者做出對抗性訓(xùn)練，以盡可能地降低受攻擊后的性能損失。從攻擊者角度出發(fā)，在優(yōu)化攻擊方法中考慮模型的對抗訓(xùn)練過程，以提高攻擊效果。傳統(tǒng)的連續(xù)優(yōu)化方法難以直接應(yīng)用于擾動的離散數(shù)據(jù)。文獻［9］針對指定目標(biāo)，采用貪婪算法對連邊或節(jié)點特征逐個擾動以攻擊單個節(jié)點。文獻［18］針對非指定目標(biāo)，提出基于投影梯度下降（Projection Gradient Descent，PGD）算法的投毒攻擊Min-max。

本文提出基于改進投影梯度下降算法的投毒攻擊方法PGattack。結(jié)合數(shù)據(jù)投毒與對抗訓(xùn)練兩個階段，在投毒攻擊場景下，將模型訓(xùn)練參數(shù)看作可重新訓(xùn)練的變量，而不是固定的常量，在更新擾動矩陣時考慮模型的對抗訓(xùn)練過程，同時在模型對抗訓(xùn)練過程中研究擾動矩陣的作用。在此基礎(chǔ)上，將圖的連邊情況松弛為一個取值［0，1］的連續(xù)變量，采用投影梯度下降算法對其進行擾動后再轉(zhuǎn)化為二進制，并對離散圖數(shù)據(jù)實施有效擾動。

1 基本概念與相關(guān)工作

1.1 圖與圖神經(jīng)網(wǎng)絡(luò)

圖定義為G(V，E)，其中V={v1，v2，…，vN}表示節(jié)點 數(shù)|V|=N的節(jié)點集合，E={e1，e2，…，eM}表示連邊集合，節(jié)點之間的相鄰關(guān)系通過鄰接矩陣A表示。在無權(quán)無向圖中，A={0，1}N×N，AT=A。當(dāng)節(jié)點vi和節(jié)點vj存在直接連邊時，Ai，j≠0，否則Ai，j=0。在特征圖中每個節(jié)點有n維的特征向量，節(jié)點特征可用矩陣X={0，1}N×n表示。節(jié)點分類任務(wù)［19］根據(jù)圖G(V，E)和有標(biāo)簽節(jié)點的信息訓(xùn)練節(jié)點分類模型，并利用該模型正確預(yù)測無標(biāo)簽節(jié)點的類別。模型的表達(dá)如式（1）所示：

其中：A為鄰接矩陣；X為輸入特征向量；W為訓(xùn)練參數(shù)矩陣；為模型輸出。

交叉熵?fù)p失函數(shù)如式（2）所示：

其中：Y為節(jié)點的標(biāo)簽。

圖神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)過程如式（3）所示：

其中：W＊為圖神經(jīng)網(wǎng)絡(luò)模型訓(xùn)練參數(shù)。

1.2 相關(guān)工作

1.2.1 投毒攻擊

本文以圖卷積網(wǎng)絡(luò)（Graph Convolutional Network，GCN）作為研究對象，研究節(jié)點分類模型中非指定目標(biāo)數(shù)據(jù)的投毒攻擊。非指定目標(biāo)攻擊通過施加對抗性擾動以影響模型的整體性能，導(dǎo)致測試集的預(yù)測準(zhǔn)確率整體下降［19］。投毒攻擊是針對訓(xùn)練階段的一種攻擊方式。攻擊者將投毒樣本注入到訓(xùn)練數(shù)據(jù)集中，圖卷積網(wǎng)絡(luò)對“中毒”數(shù)據(jù)重新訓(xùn)練后，造成測試數(shù)據(jù)集的準(zhǔn)確率降低［20］。文獻［9，17］基于GCN 構(gòu)建生成投毒攻擊模型。根據(jù)上述定義，攻擊方法可以統(tǒng)一概括為約束優(yōu)化問題，如式（4）所示：

其中：為加入擾動后圖卷積網(wǎng)絡(luò)的 鄰接矩陣；‖ · ‖0為矩陣中非0 元素的個數(shù)；δ為擾動預(yù)算，即允許擾動的最大數(shù)。投毒攻擊以降低訓(xùn)練值的損失函數(shù)Latk為目標(biāo)，當(dāng)Latk越小時，攻擊效果越好。本文令Latk=-Ltrain。投毒攻擊允許對參數(shù)進行重新訓(xùn)練，從式（4）可以看出，投毒攻擊屬于雙層優(yōu)化問題。

1.2.2 基于投影梯度下降算法的投毒攻擊方法

文獻［18］提出利用投影梯度下降算法對圖數(shù)據(jù)實施攻擊的方法，該方法能有效處理離散圖數(shù)據(jù)，并提出一階攻擊生成框架的2 種攻擊場景：1）逃逸攻擊，攻擊一個預(yù)定義的圖神經(jīng)網(wǎng)絡(luò)；2）投毒攻擊，攻擊一個可再訓(xùn)練的圖神經(jīng)網(wǎng)絡(luò)。

針對第1 種攻擊場景，文獻［18］采用投影梯度下降算法對鄰接矩陣A^ 進行擾動，攻擊模型的表示如式（5）所示：

針對第2 種可再訓(xùn)練模型參數(shù)的場景，文獻［18］對模型參數(shù)W進行優(yōu)化。GCN 模型以擾動損失大的方向作為優(yōu)化目標(biāo)，GCN 攻擊模型則以擾動損失減小的方向作為優(yōu)化目標(biāo)。攻擊生成問題轉(zhuǎn)變成最小最大化的問題，如式（6）所示：

外部最小化原始數(shù)據(jù)的損失利用投影梯度下降算法解決，內(nèi)部最大化生成對抗數(shù)據(jù)的損失由普通梯度下降算法進行優(yōu)化。

投影梯度下降算法可以對離散圖數(shù)據(jù)進行有效的擾動，具有較優(yōu)的攻擊效果。但是在投毒攻擊的場景下，式（6）將模型參數(shù)看成與擾動無關(guān)的變量，而非擾動的函數(shù)，忽略了兩者之間的聯(lián)系。

2 基于改進投影梯度下降算法的投毒攻擊方法

2.1 攻擊模型

本文基于改進投影梯度下降算法，使用一個兩層GCN 構(gòu)建投毒攻擊模型，將特征矩陣看作常數(shù)，僅對圖的鄰接矩陣進行擾動，構(gòu)建一個擾動矩陣S并對鄰接矩陣A實施擾動。當(dāng)Si，j=Sj，i=1 時，表示節(jié)點vi和節(jié)點vj之間的連邊被擾動，即刪除或添加；當(dāng)Si，j=Sj，i=0 時，表示節(jié)點vi和節(jié)點vj之間的連邊未 被擾動。擾動矩陣S對鄰接矩陣A的擾動過程如式（7）所示：

其中：為擾動后的鄰接矩陣；為A的補矩陣，補矩陣可以表示2 個節(jié)點之間是否存在邊；當(dāng)(-A)i，j=1 時，節(jié)點vi和節(jié)點vj之間不存在連邊，攻擊者可以添加連邊；當(dāng)(-A)i，j=-1 時，節(jié)點vi和節(jié)點vj之間存在連邊，攻擊者可以將其刪除；1 為元素全1 的矩陣；?為矩陣中逐元素乘積。δ為擾動預(yù)算，本文攻擊方法尋求一個擾動矩陣S導(dǎo)致GCN 模型性能下降，在有限δ內(nèi)對節(jié)點進行錯誤分類，對應(yīng)式（2）中的損失函數(shù)最小。本文攻擊方法可以概括為以下約束優(yōu)化問題：

本文將GCN 模型訓(xùn)練參數(shù)W＊（S）看作擾動矩陣S的函數(shù)，而不是獨立于擾動之外的變量，這是在投毒攻擊場景下實施有效攻擊的關(guān)鍵。在參數(shù)W＊（S）訓(xùn)練過程中需要考慮擾動矩陣S的影響。在本文每輪GCN 模型參數(shù)W＊（S）的訓(xùn)練過程中都基于擾動矩陣S，投毒攻擊過程主要分為3 個步驟：1）構(gòu)建擾動矩陣S，根據(jù)上一輪的GCN 模型參數(shù)W＊（S），采用投影梯度下降算法對S進行訓(xùn)練，并對鄰接矩陣A實施擾動；2）模型根據(jù)擾動后的鄰接矩陣A^(S)訓(xùn)練GCN 模型參數(shù)W＊（S）；3）重復(fù)前2 個步驟直至滿足迭代總次數(shù)。

本文方法將數(shù)據(jù)投毒和對抗訓(xùn)練這2 個階段相結(jié)合，在GCN 模型的對抗訓(xùn)練過程中考慮了擾動矩陣的影響，在更新擾動矩陣時考慮了GCN 模型對抗訓(xùn)練的影響。根據(jù)式（8），本文將投毒攻擊分為數(shù)據(jù)投毒階段和對抗訓(xùn)練階段。

2.1.1 數(shù)據(jù)投毒階段

在此階段，攻擊者對數(shù)據(jù)進行投毒并訓(xùn)練，以優(yōu)化自身攻擊方法。從式（8）可知，擾動矩陣S是一個對角線元素為0 的對稱矩陣，S中含有N（N-1）/2 個獨立的擾動變量。這些擾動變量之和應(yīng)不超過擾動總數(shù)δ，S中的元素s∈｛0，1｝。在數(shù)據(jù)投毒階段中，將S凸松弛成連續(xù)的S*，S*中的元素s*∈［0，1］。S*每個元素都是0～1 之間的連續(xù)值，是一個不斷被優(yōu)化的矩陣。S對鄰接矩陣A的擾動數(shù)不能超過最大擾動數(shù)δ，不能簡單地根據(jù)梯度下降算法對S*中的元素s*進行梯度更新，而需采用投影梯度下降算法。該算法是解決簡單約束的連續(xù)優(yōu)化算法，其基本思想是先使用梯度下降算法更新參數(shù)，再投影以保證更新的參數(shù)在可行域即約束條件之中。該過程如式（9）所示：

其中：t為梯度下降算法的迭代次數(shù)；ηt為第t輪更新S*的學(xué)習(xí)率；Wt-1(S)為第t-1 輪擾動后GCN 模型的訓(xùn)練參數(shù)。S*在更新過程中需要考慮到約束條件‖S*‖0≤2δ，在約束條件的范圍內(nèi)求解一個最接近S*的向量并記作Sp，如式（10）所示：

其中：Φ表示滿足條件‖S*‖0≤2δ的約束空間。式（10）是S*(t)在約束空間Φ上的投影算子，將S*(t)投射到Φ連續(xù)空間中。此時，經(jīng)過投影梯度下降算法得到的Sp并不能直接作為擾動矩陣使用，使用二項分布隨機抽樣［21］得到二值化的S，如式（11）所示：

再由式（7）得到擾動后的鄰接矩陣。至此，本文完成了對數(shù)據(jù)的一輪“投毒”。

2.1.2 對抗訓(xùn)練階段

在此階段，GCN 模型對攻擊者投毒后的數(shù)據(jù)做出反應(yīng)并展開對抗訓(xùn)練。在攻擊者對GCN 進行一輪擾動之后，GCN 模型根據(jù)擾動后的鄰接矩陣^(S)對訓(xùn)練參數(shù)W（S）進行對抗訓(xùn)練，使得模型的損失函數(shù)Ltrain最小。GCN 模型參數(shù)W（S）采用梯度下降算法訓(xùn)練，過程如式（12）所示：

其中：α為GCN 模型訓(xùn)練參數(shù)W（S）更新的學(xué)習(xí)率。式（12）表示訓(xùn)練參數(shù)W（S）為擾動矩陣S的函數(shù)，通過對擾動矩陣S求梯度以最小化損失函數(shù)，如式（13）所示：

2.2 算法架構(gòu)

根據(jù)上述理論，基于改進投影梯度下降算法的投毒攻擊方法（PGattack）主要分為5 個步驟：1）根據(jù)上一輪的擾動矩陣S求得擾動后的鄰接矩陣；2）圖卷積網(wǎng)絡(luò)進行正向訓(xùn)練，獲得GCN 模型訓(xùn)練參數(shù)；3）求攻擊梯度矩陣并根據(jù)投影梯度下降算法更新擾動矩陣Sp；4）將矩陣Sp二值化得到擾動矩陣S；5）根據(jù)擾動矩陣S對鄰接矩陣進行擾動，重復(fù)步驟1～步驟4，直至滿足迭代總次數(shù)iters 停止。

本文攻擊算法的偽代碼如算法1 所示。

算法1基于改進投影梯度下降的圖卷積網(wǎng)絡(luò)投毒攻擊算法

本文提出的PGattack 攻擊方法架構(gòu)如圖1 所示，該方法綜合考慮投毒攻擊的雙層優(yōu)化問題，實現(xiàn)數(shù)據(jù)投毒與GCN 模型對抗訓(xùn)練2 個過程的結(jié)合。

圖1 PGattack 攻擊方法架構(gòu)Fig.1 Framework of PGattack attack method

3 實驗驗證

為分析本文攻擊方法的主要影響因素并評估其攻擊效果，本文實驗采用型號為TITAN Xp 的GPU顯卡，運行環(huán)境為ubuntu 16.04 系統(tǒng)，cuda10.0、Python3.7 以及Pytorch1.2.0。采用圖深度學(xué)習(xí)常用的Citeseer［22］、Cora［22］、Cora_ml［23］和Polblogs［24］數(shù)據(jù)集，表1 所示為這些數(shù)據(jù)集的統(tǒng)計特征。數(shù)據(jù)集隨機劃分為標(biāo)記節(jié)點和未標(biāo)記節(jié)點，其中標(biāo)記節(jié)點全部用于訓(xùn)練（10%）。在未標(biāo)記的節(jié)點中，一部分用于測試（80%），另一部分用于驗證（10%）。本文將數(shù)據(jù)集隨機劃分10 次，并記錄10 次實驗結(jié)果的平均值。

表1 數(shù)據(jù)集統(tǒng)計特征Table 1 Statistical characteristics of datasets

本文實驗對GCN 模型的連邊進行擾動，將擾動連邊數(shù)與連邊總數(shù)的比值稱作擾動比例。GCN 模型在不同數(shù)據(jù)集上未受到干擾時的分類準(zhǔn)確率對比如表2 所示。

表2 圖卷積網(wǎng)絡(luò)模型未受到干擾的分類準(zhǔn)確率對比Table 2 Classification accuracy comparison of graph convolutional network model without disturbance

3.1 參數(shù)設(shè)置

本文攻擊方法的性能與參數(shù)設(shè)置相關(guān)，攻擊過程主要由數(shù)據(jù)投毒與對抗訓(xùn)練2 個階段組成，訓(xùn)練輪數(shù)與學(xué)習(xí)率直接影響攻擊效果。為盡可能提高攻擊性能，本文在以上4 個數(shù)據(jù)集上進行實驗，并根據(jù)實驗數(shù)據(jù)設(shè)置相應(yīng)參數(shù)。

3.1.1 訓(xùn)練輪數(shù)設(shè)置

在擾動比例為5%的情況下，本文方法的數(shù)據(jù)投毒階段的訓(xùn)練輪數(shù)從10 次增至200 次，分別記錄分類準(zhǔn)確率。文獻［18］將數(shù)據(jù)投毒階段投影梯度下降的學(xué)習(xí)率設(shè)置為iters/，t為當(dāng)前迭代輪數(shù)，iters 為訓(xùn)練總輪數(shù)，對抗訓(xùn)練的學(xué)習(xí)率設(shè)為0.01，對抗訓(xùn)練輪數(shù)設(shè)為100。在Citeseer、Cora、Cora_ml 和Polblogs數(shù)據(jù)集上，不同訓(xùn)練輪數(shù)下GCN 模型被PGattack 攻擊后的分類準(zhǔn)確率如表3 和圖2 所示。

表3 在不同訓(xùn)練輪數(shù)下圖卷積網(wǎng)絡(luò)模型被PGattack攻擊后的分類準(zhǔn)確率Table 3 Classification accuracy of graph convolutional network model by PGattack attack in different training rounds

圖2 圖卷積網(wǎng)絡(luò)模型被本文方法攻擊后的分類準(zhǔn)確率Fig.2 Classification accuracy of graph convolutional network model by the proposed method attack

從圖2 可以看出，當(dāng)訓(xùn)練輪數(shù)超過50 之后，GCN模型的分類準(zhǔn)確率在一定范圍內(nèi)波動，呈現(xiàn)收斂趨勢；同理，對GCN 模型對抗訓(xùn)練階段的輪數(shù)進行對比實驗，得出類似結(jié)果。后續(xù)實驗將2 個階段的訓(xùn)練輪數(shù)均設(shè)置為50。

3.1.2 對抗訓(xùn)練學(xué)習(xí)率設(shè)置

本文方法由數(shù)據(jù)投毒與對抗訓(xùn)練2 部分組成，本文實驗選取擾動比例為5%，首先根據(jù)實驗經(jīng)驗和粗粒度測試，將學(xué)習(xí)率從0.01 增至0.10，分別記錄GCN 模型的分類準(zhǔn)確率。在Citeseer、Cora、Cora_ml和Polblogs 數(shù)據(jù)集上，不同學(xué)習(xí)率下GCN 模型受PGattack 攻擊后的分類準(zhǔn)確率如表4 所示。綜合表4數(shù)據(jù)，為取得更優(yōu)的攻擊性能，本文將學(xué)習(xí)率設(shè)為0.02。

表4 在不同學(xué)習(xí)率下圖卷積網(wǎng)絡(luò)模型被PGattack攻擊后的分類準(zhǔn)確率Table 4 Classification accuracy of graph convolutional network model by PGattack attack in different learning rates

3.2 攻擊效果實驗

本文根據(jù)訓(xùn)練模型對比分類準(zhǔn)確率，以評估攻擊效果，分類準(zhǔn)確率下降幅度越大，說明GCN 模型的性能下降越明顯，則攻擊方法的效果越好。本文在Citeseer、Cora、Cora_ml 和Polblogs 數(shù)據(jù) 集上進行實驗，訓(xùn)練輪數(shù)為50 輪，對抗訓(xùn)練學(xué)習(xí)率為0.02，將擾動比例從1%增至10%，分別記錄GCN 模型在不同擾動比例下的分類準(zhǔn)確率。隨著擾動比例的增加，GCN 模型分類準(zhǔn)確率背離初始準(zhǔn)確率并逐步遞減。在Citeseer、Cora、Cora_ml 和Polblogs 數(shù)據(jù)集上，在不同的擾動比例下本文攻擊方法對GCN 模型進行擾動后的分類準(zhǔn)確率如表5 和圖3 所示。擾動比例越大（即擾動的連邊數(shù)越多），GCN 模型的分類準(zhǔn)確率越小，與預(yù)期相符，驗證了攻擊效果。

表5 在不同擾動比例下圖卷積網(wǎng)絡(luò)模型被PGattack攻擊后的分類準(zhǔn)確率Table 5 Classification accuracy of graph convolutional network model by PGattack attack in different disturbance ratios

圖3 圖卷積網(wǎng)絡(luò)模型被本文方法攻擊后的分類準(zhǔn)確率Fig.3 Classification accuracy of graph convolutional network model by the proposed method attack

3.3 與其他攻擊方法對比

本節(jié)將基于改進投影梯度下降算法的攻擊方法PGattack 與基準(zhǔn)方法的攻擊性能與復(fù)雜度進行對比。基準(zhǔn)方法包括以下4 個：1）隨機攻擊方法Random［19］，從訓(xùn)練集中隨機選擇增加連邊或刪除；2）刪除同類連接異類［25］DICE 攻擊方法，根據(jù)“從同類節(jié)點中刪除連邊，在不同類節(jié)點間增加連邊”規(guī)則，利用啟發(fā)式算法刪除部分連邊，隨后通過添加連邊恢復(fù)其影響力［24］；3）Min-max 攻擊方法［18］，將攻擊生成問題變成最小最大化的問題，最小化攻擊的損失由投影梯度下降算法解決，最大化模型生成對抗數(shù)據(jù)的損失由梯度上升算法來解決；4）Metattack 攻擊方法［26］，使用元學(xué)習(xí)中的元梯度方法解決投毒攻擊的雙層優(yōu)化問題，通過計算元梯度以指導(dǎo)攻擊行為，采用貪婪算法對鄰接矩陣遍歷擾動以實現(xiàn)攻擊。

3.3.1 攻擊性能分析

本文在Citeseer、Cora、Cora_ml 和Polblogs數(shù)據(jù)集上，對GCN 模型中1%～5%的連邊數(shù)進行攻擊，訓(xùn)練輪數(shù)為50，對抗訓(xùn)練學(xué)習(xí)率為0.02，記錄攻擊后的分類準(zhǔn)確率。不同方法攻擊后圖卷積網(wǎng)絡(luò)模型的分類準(zhǔn)確率如表6 和圖4 所示。其中，圖4 的Clean 表示模型在攻擊前的準(zhǔn)確率。

圖4 圖卷積網(wǎng)絡(luò)模型的分類準(zhǔn)確率Fig.4 Classification accuracy of graph convolutional network model

表6 圖卷積網(wǎng)絡(luò)模型被不同方法攻擊后的分類準(zhǔn)確率Table 6 Classification accuracy of graph convolutional network model after attacks by different methods

從表6 可以看出，當(dāng)擾動比例為5%以下時，相比Random、DICE、Min-max 攻擊方法，本文PGattack方法具有更好的攻擊效果，GCN 模型的分類準(zhǔn)確率下降輻度更大。

本文方法與傳統(tǒng)投影梯度下降攻擊方法Min-max相比，擾動篩選算法均采用投影梯度下降算法。而Min-max 方法將訓(xùn)練后的參數(shù)視為固定常數(shù)，在此基礎(chǔ)上使用投影梯度下降算法進行擾動；PGattack方法將參數(shù)視為擾動的函數(shù)而非獨立變量，在梯度攻擊過程中考慮模型的對抗訓(xùn)練階段以優(yōu)化攻擊算法。實驗結(jié)果驗證了PGattack 方法的有效性，即在攻擊中考慮模型的對抗訓(xùn)練過程以提升攻擊效果。

本文方法與Metattack 相比，當(dāng)擾動比例為3%以下時，PGattack 的攻擊效果優(yōu)于Metattack；當(dāng)擾動比例為4%以上時，PGattack 的攻擊效果與Metattack 相比較差。Metattack 采用貪婪算法實施攻擊，隨著擾動比例的增大，攻擊效果逐漸提升。當(dāng)擾動數(shù)據(jù)量較大時，貪婪算法對離散數(shù)據(jù)擾動的準(zhǔn)確性更高，但是需要逐一對元素實施擾動，計算復(fù)雜度較高。

3.3.2 復(fù)雜度分析

隨機增刪連邊的Random 和基于簡單的規(guī)則增刪連邊的DICE 攻擊方法均不需要對模型進行訓(xùn)練，計算復(fù)雜度較低。Min-max 先求解訓(xùn)練參數(shù)W，再將W視為常量，使用投影梯度下降算法實施擾動，未考慮模型的對抗訓(xùn)練過程，復(fù)雜度中等，但是高于DICE 和Random。PGattack 將訓(xùn)練參數(shù)W視為與擾動相關(guān)的變量，在采用投影梯度下降算法實施擾動時考慮模型的對抗訓(xùn)練過程，計算復(fù)雜度大于Min-max。Metattack 攻擊方法先求解元梯度，之后采用貪婪算法對連邊逐個擾動，計算復(fù)雜度隨擾動比例增加呈線性增長。

在4 個數(shù)據(jù)集上不同攻擊方法的時間開銷對比如表7 所示。

表7 不同攻擊方法的時間開銷對比Table 7 Time costs comparison among different attack methods

從表7 可以看出，除Metattack 以外，其他4 種攻擊方法的耗時排序：PGattack>Min-max>DICE>Random。Metattack 隨著擾動連邊數(shù)增多，耗時呈線性增長趨勢。實驗結(jié)果與理論分析一致。Metattack攻擊方法在擾動比例較大時，盡管具有更好的攻擊效果，但時間開銷較大。本文所提的PGattack 方法能夠兼顧攻擊性能與復(fù)雜度，具有更好的實用性。

4 結(jié)束語

本文提出基于改進投影梯度下降算法的投毒攻擊方法，將模型訓(xùn)練參數(shù)看作擾動的函數(shù)，采用投影梯度下降算法對圖的連邊進行擾動，同時考慮模型的對抗訓(xùn)練過程。實驗結(jié)果表明，當(dāng)擾動比例為5%時，相比Random、DICE、Min-max 攻擊方法，本文攻擊方法能夠有效降低圖卷積網(wǎng)絡(luò)模型的的分類準(zhǔn)確率，在攻擊性能與時間開銷方面實現(xiàn)最佳平衡。后續(xù)將在圖神經(jīng)網(wǎng)絡(luò)的鏈路預(yù)測、圖分類、社區(qū)發(fā)現(xiàn)等任務(wù)中構(gòu)建投毒攻擊模型，分析圖神經(jīng)網(wǎng)絡(luò)的脆弱機理，以提高本文方法的可擴展性。