La imagen se ve perturbada por el ruido. ¿De dónde provienen los datos del gráfico?
Por ejemplo, en las redes sociales online, las cuentas troll siguen a cuentas normales y publican contenido diariamente para reducir sus sospechas en las redes sociales y evitar ser detectados y bloqueados. A continuación se muestra un ejemplo de un troll que utiliza ruido para evitar la detección de títulos, lo que muestra que la interferencia del ruido del mapa sigue siendo muy común.
La definición de resistencia al ataque de datos del gráfico es: dado un gráfico (nodos y bordes), al modificar este gráfico, esta modificación puede reducir el rendimiento de los algoritmos (como la clasificación de nodos y la predicción de enlaces) en los datos del gráfico. . No detectado.
Los cambios causados por la modificación del gráfico se definen como perturbaciones, es decir, las perturbaciones causadas por el atacante que ataca los datos del gráfico deben cumplir ciertas restricciones.
Tipos de interferencia
1. Preservar la perturbación estructural: agregar y restar nodos y aristas cambiará algunas propiedades estructurales del gráfico, como la distribución de grados y la centralidad de los nodos.
La esencia es el cambio de enlaces. Por lo tanto, los ejemplos contradictorios recién generados deberían mantener los cambios en estas propiedades estructurales dentro de un cierto rango. En la actualidad, la mayoría de los artículos tratan sobre este tipo de ataque;
2. Perturbación de los atributos de mantenimiento: el segundo tipo de perturbación se logra modificando los atributos de los nodos, por lo que el atacante debe asegurarse de que estos atributos no puedan ocurrir. cambia significativamente. Podemos mantener la estabilidad de las características midiendo la similitud de los vectores de características de los nodos (bordes).
Métodos y categorías de ataque
1. Ataque de envenenamiento: las muestras de contramedidas recién generadas se utilizarán para entrenar nuevos algoritmos. Para decirlo en sentido figurado, el atacante envenena el conjunto de entrenamiento del algoritmo, afectando así el rendimiento del algoritmo entrenado en el conjunto de prueba no contaminado;
2. Ataque de escape: la muestra de contramedida recién generada solo existe en el. conjunto de prueba Centralizado, el algoritmo se entrena en un conjunto de entrenamiento no contaminado. El objetivo del atacante es que los ejemplos contradictorios afecten el rendimiento del algoritmo entrenado original en el conjunto de prueba.
Tareas de ataque:
1. Tareas relacionadas con los nodos: las tareas de clasificación de nodos y los ataques a la incrustación de nodos son ataques a nivel de nodo. El propósito es cometer errores en el clasificador y reducirlos. precisión o recuperación.
Dado que la tarea principal actual de los datos gráficos es la clasificación de nodos, la mayoría de los artículos antiataques de datos gráficos han estudiado la tarea de clasificación de nodos
2. un gráfico Otra tarea importante sobre datos, para sistemas de recomendación, mapas de conocimiento y redes sociales.
Para los ataques a nivel de enlace, el objetivo principal es permitir que el algoritmo prediga objetivos de enlace incorrectos;
3. Tareas relacionadas con el gráfico completo: las tareas relacionadas con el gráfico completo son principalmente la clasificación. de todo el gráfico, comúnmente utilizado en la clasificación de estructuras biológicas.
Generalmente, la incrustación de baja dimensión de la estructura general del gráfico se aprende y luego se clasifica. Hay poca investigación sobre contraataques en esta área.
Otra clasificación de ángulos de ataque:
1. Ataque de caja blanca: el atacante tiene toda la información sobre el sistema del oponente, incluido el método utilizado, el resultado del algoritmo y el proceso de cálculo. Este escenario se refiere a cuando el atacante irrumpe completamente en el sistema objetivo;
2. Ataque de caja gris: solo se necesita una parte de la información para lanzar el ataque, que es más dañino que el ataque de caja blanca porque el atacante puede lanzar un ataque sin comprometer completamente el sistema objetivo. En la investigación, podemos subdividir aún más las categorías de ataques de caja gris según tareas y escenarios específicos;
3. Ataques de caja negra: el atacante solo puede consultar resultados limitados del ataque y no tiene conocimiento del mecanismo del sistema objetivo. . aprender. Este ataque es el más difícil y el que más daño causa al defensor.
Según el objetivo:
1. Ataque de disponibilidad: El objetivo del atacante es reducir el rendimiento de todo el sistema.
Tales como precisión general, tasa de recuperación, etc.;
2. Ataque de integridad: el objetivo del atacante es reducir el rendimiento de tareas u objetos específicos, y no requiere requisitos generales. actuación.
Por ejemplo, en la tarea de recomendación de amigos (predicción de enlaces), el atacante puede hacer que el algoritmo no pueda predecir la relación de amistad entre dos personas específicas.