(中山大学 & 腾讯) Reliable Deep Graph Learning
paper: https://arxiv.org/abs/2202.07114v1
首先本笔记只是记录一下分类,如果有感兴趣的论文找到原论文中的对应位置找到索引阅读即可
深度图学习$(Deep \ Graph \ Learning,DGL)$在各领域都取得了显著的进步。尽管取得了进展,但将$DGL$应用于实际应用仍面临一系列可靠性威胁,包括固有噪声、分布偏移和对抗性攻击。
这篇综述也是从这三个方面对图学习可靠性的最新进展进行了总结。
- 固有噪声是指图结构、节点属性和节点/图标签中的不可约噪声。
- 分布转移是指训练分布和测试分布之间的转移(如$shift-GNN$)
- 对抗性攻击是一种操纵性的人类行为,旨在通过精心设计的模式或对原始数据的扰动导致模型不当行为。
下图显示了在深度图学习的典型管道中,不同的威胁是如何发生的。相比之下,由于采样偏差或环境噪声,在数据生成过程中通常会发生固有噪声或分布偏移,而没有经过刻意的人为设计,而恶意攻击者在数据生成阶段之后故意设计了对抗性攻击。
抗固有噪声的可靠性
现实世界中的图形数据不可避免地会包含一些固有的噪声,这些噪声可能来自容易出错的数据测量或收集、数据预处理过程中的信息丢失、次优图形结构,下游任务等。
固有噪声可能存在于图结构、节点属性和节点/图标签中,这引出了三种类型的固有噪声,即结构噪声、属性噪声和标签噪声。
- 结构噪声是由于容易出错的数据测量或收集,例如蛋白质-蛋白质相互作用网络,不可避免地引入固有结构噪声。
- 属性噪声
- 一方面,节点的原始属性可能不完整或不正确。例如,由于社交网络中的隐私问题,用户可能会故意提供虚假的个人资料。
- 另一方面,原始节点属性转换为节点嵌入时的信息丢失,例如,使用单词嵌入技术对节点的文本数据进行编码。在基于消息传递的$GNNs$的训练阶段,每个节点中的属性噪声可以传递给其邻居,这将逐渐影响最终的节点/图嵌入。
- 标签噪声
- 节点或图形标签中的错误注释会导致固有的标签噪声。与图像分类类似,节点分类中可能会出现不可避免的错误注释。但与图像相比,由于图中的节点依赖性,可能更难为节点标注标签,这会导致更多噪声或标签稀疏性问题
- 在图分类中,由于需要更多的领域专业知识,为图添加标签的成本变得更高。例如,要注释分子图的药物相关特性,需要进行测量实验或从文献中提取特性,这两者都可能引入图形标签噪声
方法
- 数据去噪
- 数据去噪是减少$DGL$算法中噪声影响的一种简单方法。对于结构噪声,一个自然的想法是在$GNNs$中执行节点信息聚合时为每个节点分配可学习的权重,以便权重能够反映任务所需的图结构。有如下的一些论文,可以根据需要取论文里找参考链接
- 将自我注意模块整合到原始GNN中方法
- 使用多层神经网络修剪任务无关边,以从学习的分布中绘制子图
- 重新参数化技巧
- 对于标签噪声会导致$DGL$设置中的性能显著下降。
- 有的工作直接应用后向损失标签校正来训练$GNN$,而不考虑图结构。
- 有的工作将结构信息纳入了设计中。通过使用标签聚合图结构上的随机游动来估计节点级类概率分布,从而进行样本重新加权和标签校正。
- 建议生成准确的伪标签,并在未标记节点和(伪)标记节点之间分配高质量边缘,以减少标签噪声。
- 尽管存在属性噪声,但据我们所知,目前还没有专门设计用于去除属性噪声的方法,这可能是一个很有前途的方向。
- 数据去噪是减少$DGL$算法中噪声影响的一种简单方法。对于结构噪声,一个自然的想法是在$GNNs$中执行节点信息聚合时为每个节点分配可学习的权重,以便权重能够反映任务所需的图结构。有如下的一些论文,可以根据需要取论文里找参考链接
- 具有正则化的$DGL$
- 从正则化的角度来看,以往的研究试图通过隐式或显式降低假设空间的复杂性来减少对固有噪声的过度拟合。一方面,为了减少$DGL$算法的过拟合,提出了各种专门用于$GNN$的正则化技术。
- 核心思想是随机删除边、节点或$GNN$的隐藏表示。最近有工作进一步将这些方法统一到贝叶斯图学习框架中。
- 此外,一种先进的数据增强策略,即混合,最近被应用于$DGL$,并被证明对多个与图形相关的任务是有效的
- 有一些研究试图显式地将正则化施加到假设空间,即构建具有一些预定义约束或归纳偏差的$GNN$模型
- 从贝叶斯的角度来看,DGL的先验集成方法也可以看作是一种隐式正则化,它通过不同的输入数据转换独立训练多个图学习模型,然后将多个模型的输出聚合为最终输出
- 从正则化的角度来看,以往的研究试图通过隐式或显式降低假设空间的复杂性来减少对固有噪声的过度拟合。一方面,为了减少$DGL$算法的过拟合,提出了各种专门用于$GNN$的正则化技术。
抗分布偏移的可靠性
当训练数据和测试数据由不同的底层分布生成时,机器学习中的分布会发生变化,这在许多实际应用中都存在。本节首先对图形数据上的典型分布偏移进行分类,然后介绍最近为提高$DGL$方法对分布偏移的可靠性所做的工作。
图结构数据的分布迁移分为两类:$domain \ generalization$和$sub-population shift$。
- $domain \ generalization$是指训练和测试分布由不同的领域组成。一些典型的例子包括协变量移位和开集识别。
- 协变量移位,它假设训练域和测试域的条件标签分布相同,但数据边缘分布不同。例如,在药物发现中,药物分子的支架往往在推理上有所不同,在社交网络和金融网络中,图形结构可能会随着时间发生显著变化
- $sub-population \ shift$指的是训练和测试分布由同一组域组成,但每个域的频率不同。
- 当数据/标签$sub-population$的频率发生变化时,图上的$sub-population \ shift$会增加
- 标签偏移是指两个域的边缘标签分布发生变化,但输入给定标签的条件分布在域之间保持不变的情况
- 此外,图上的分类平衡问题是标签转移的一种特殊形式。例如,标签分布对于测试分布是统一的,但对于训练分布则不统一。
方法
- 不变图表示学习
- 不变图表示学习旨在学习跨不同领域的不变图表示。最近提出的不变表示学习的思想已经在一些$DGL$模型中得到了应用。
- 使用因果模型来学习近似不变的图表示,这些图表示可以很好地在训练域和测试域之间进行外推。
- 有的工作继承不变风险最小化的精神,开发一个探索外推风险最小化框架,促进$GNNs$利用不变图特征进行节点级预测。
- 设计一个对抗性域分类器,学习网络对齐的域不变表示,通过同时最小化损失和最大化观测锚的后验概率分布,对其进行优化。
- 提出了一种基于解纠缠的无监督域自适应方法,该方法应用变分图自动编码器来恢复三种类型的定义潜在变量(语义、域和随机潜在变量)。
- 不变图表示学习旨在学习跨不同领域的不变图表示。最近提出的不变表示学习的思想已经在一些$DGL$模型中得到了应用。
- 图鲁棒性训练
- 图鲁棒训练提出通过增加数据或修改训练框架来增强模型对分布变化的鲁棒性。一方面,一些方法将高级数据增强技术推广到通用数据格式(例如,混合)中,以绘制结构化数据。
- 提出了一种基于混合的框架,用于改进图上的类不平衡节点分类,该框架在构建的语义关系空间和边缘混合上执行特征混合。
- 提出了一个基于节点特征和图结构的公平性感知数据增强框架,以减少$GNNs$获得的节点表示的固有偏差。
- 另一方面,一些方法建议在$DGL$模型中集成对抗性训练技术。
- 提出了一种方法,该方法在训练期间通过对抗性扰动迭代增强节点特征,并通过使模型对输入数据的小波动保持不变,帮助模型推广到$out-of-distribution(OOD)$样本。
- 利用注意机制整合全局和局部一致性以及梯度反转层来学习跨域节点嵌入。
- 图鲁棒训练提出通过增加数据或修改训练框架来增强模型对分布变化的鲁棒性。一方面,一些方法将高级数据增强技术推广到通用数据格式(例如,混合)中,以绘制结构化数据。
- 不确定度量化
- 除了上述两个旨在提高模型稳健性的方向外,不确定性量化可被视为增强$DGL$算法可靠性的补充方法,因为估计的不确定性可用于拒绝具有高模型预测不确定性的不可靠决策。自然不确定性度量可以是预测置信度,即$Softmax$输出的最大值。然而,最近的研究发现,具有$Softmax$预测层的$GNN$通常信心不足,因此信心不能准确反映预测的不确定性,两种方法解决
- 将概率块引入到原始$GNN$中,用于建模后验权重分布,这可以提供比确定性$GNN$架构更精确的不确定性估计。例如,有工作提议用高斯过程块代替$Softmax$决策层,该过程块可提供准确的不确定性估计。
- 贝叶斯$GNN$积极地将整个$GNN$层转换为贝叶斯对应层。具体而言,它将模型权重和抽样过程都视为概率分布,并采用变分推理来估计这些分布的参数。
- 其次,更直接的方法是以事后方式执行置信度校准,而不修改$GNN$体系结构。一种典型的校准方法是温度定标。然而,它最初是为$DNN$设计的,经证明在$DGL$设置中性能较差。有工作通过使用额外的$GNN$预测每个节点的唯一温度,修改$GNN$的温度标度。由于温度是通过同时考虑节点特征和图形拓扑来产生的,因此该方法比原方法具有更好的标定性能。
- 除了上述两个旨在提高模型稳健性的方向外,不确定性量化可被视为增强$DGL$算法可靠性的补充方法,因为估计的不确定性可用于拒绝具有高模型预测不确定性的不可靠决策。自然不确定性度量可以是预测置信度,即$Softmax$输出的最大值。然而,最近的研究发现,具有$Softmax$预测层的$GNN$通常信心不足,因此信心不能准确反映预测的不确定性,两种方法解决
对抗对手攻击的可靠性
对抗性攻击旨在通过精心设计的不可见干扰(对抗性样本)或预定义模式(后门触发器)使模型出错。本节概述了对$GNN$的对抗性攻击,并随后回顾了缓解此类威胁的最新工作。
对抗性攻击可在训练阶段(中毒攻击)和推理阶段(逃避攻击)执行,以误导模型对节点等特定重要实例的预测(目标攻击),或降低模型的整体性能(非目标攻击)。本调查从三个维度回顾了之前的工作:操纵攻击、注入攻击和后门攻击。具体来说,操纵和注入攻击可以在推理阶段执行,而后门攻击总是发生在训练阶段。
可分为三类攻击
- 操纵攻击
- 在操纵攻击中,攻击者通过修改图结构或节点属性来生成敌对样本。例如,攻击者可以在图中添加、删除或重新布线边,以产生合法的干扰。
- 一篇开创性的工作,通过贪婪搜索算法操纵图的边和属性来制作对抗性样本。
- 这项工作之后,基于梯度的方法成为制作对抗性样本的一种重要方法。通过利用受害者模型或局部训练的代理模型的梯度信息,攻击者可以很容易地近似最坏情况下的扰动来执行攻击
- 提出了一种无监督的对抗性攻击,其中梯度是基于图形对比损失计算的。
- 除梯度信息外,有工作近似图频谱,以黑盒方式执行攻击。
- 在操纵攻击中,攻击者通过修改图结构或节点属性来生成敌对样本。例如,攻击者可以在图中添加、删除或重新布线边,以产生合法的干扰。
- 注入攻击
- 操纵攻击要求攻击者拥有修改原始图形的高权限,这在许多真实场景中是不切实际的。或者,注入攻击最近已成为一种更实用的方法,将一些恶意节点注入到图中。注入攻击的目标是通过几个注入节点将恶意信息连同图结构一起传播到适当的节点。
- 首先研究了节点注入攻击,并提出了一种基于强化学习的框架来毒害图。
- 有工作进一步推导出近似闭合解,以线性化攻击模型并有效注入新的恶意节点。
- 在规避攻击设置中,有工作同时考虑注入节点的属性和结构,以获得更好的攻击性能
- 最近的一项研究表明,注入攻击的成功是建立在对原始图的同源性造成严重破坏的基础上的。因此,作者提出了优化和谐敌对目标以保持图的同态性。
- 操纵攻击要求攻击者拥有修改原始图形的高权限,这在许多真实场景中是不切实际的。或者,注入攻击最近已成为一种更实用的方法,将一些恶意节点注入到图中。注入攻击的目标是通过几个注入节点将恶意信息连同图结构一起传播到适当的节点。
- 后门攻击
- 与前两次攻击相比,后门攻击的目的是在训练阶段将后门触发器注入到图中,从而毒害学习模型。通常,后门触发器可以是攻击者设计的节点或(子)图。
- 有工作建议使用子图作为触发模式来发起后门攻击
- 还有工作根据可解释性方法为$GNN$选择最佳触发器。
- 在文献中,后门攻击是一种相对未被发现的威胁。然而,在许多安全关键领域,它们更为现实和危险,因为后门触发器甚至很难被人类注意到。
- 与前两次攻击相比,后门攻击的目的是在训练阶段将后门触发器注入到图中,从而毒害学习模型。通常,后门触发器可以是攻击者设计的节点或(子)图。
方法
从数据、模型和优化角度回顾$DGL$最近针对对抗性攻击的鲁棒性增强技术。
图处理
从数据的角度来看,一个自然的想法是处理训练/测试图,以消除敌对噪声,从而减轻其负面影响。目前,加强这方面的方法主要是通过对具体对抗性攻击的经验观察来支持的。
- 有工作基于节点属性的$Jaccard$相似性修剪受干扰的边,假设受到不利干扰的节点与其邻居的相似性较低。
- 另一项工作观察到,逆扰动图的邻接矩阵总是具有高秩。基于这一观察,他们利用奇异值分解$(SVD)$对相邻矩阵进行低阶近似,从而在一定程度上减少了对抗性攻击的影响。
- 此外,通过在训练期间保持稀疏、低秩和特征平滑的图属性,可以同时学习干净的图结构
基于图形处理的方法实现成本低廉,同时显著提高了GNN的对抗鲁棒性。然而,基于特定攻击的经验观察使得此类方法难以抵抗不可见的攻击。此外,性能和稳健性之间还有一个特殊的权衡,因为它们通常假设数据已经受到干扰。
模型鲁棒性
- 改进模型以应对潜在的敌对威胁是一种显著的增强技术,我们称之为模型鲁棒性。具体而言,$GNNs$的鲁棒性可以通过改进模型体系结构或聚合方案来实现。有几种旨在通过对模型本身采用不同的正则化或约束来改进体系结构的努力
- $1-Lipschitz约束$
- 基于$\ell_1$的图平滑
- 自适应残差
- 最近的工作,$GNNs$聚集邻域信息进行表征学习的方式使其容易受到对抗性攻击。为了解决这 个问题,他们推导了一个稳健的中值函数,而不是均值函数,以改进聚合方案。总的来说,一个健壮的模型能够抵抗对手攻击,而不会在良性情况下影响性能。
- 改进模型以应对潜在的敌对威胁是一种显著的增强技术,我们称之为模型鲁棒性。具体而言,$GNNs$的鲁棒性可以通过改进模型体系结构或聚合方案来实现。有几种旨在通过对模型本身采用不同的正则化或约束来改进体系结构的努力
鲁棒性训练
另一种成功应用于$GNN$模型的增强技术是基于稳健的训练范式。对抗性训练是一种广泛使用的对抗性攻击的实用解决方案,它在训练集上构建模型,并添加手工制作的对抗性样本。本质上,敌对样本可以通过对图结构的特定扰动、节点属性甚至隐藏表示来构建。
1
其实就是在训练的时候人为的制造一些样本,来让模型在学习的时候也注意到
虽然对抗性训练可以提高模型的泛化能力和鲁棒性,以抵抗不可见的攻击,但存在过度拟合对抗性样本的风险。此外,对抗性训练只能抵抗躲避攻击。为此,有工作建议通过传输类似图域的知识来增强模型对中毒攻击的鲁棒性。然而,它需要来自其他领域的大量干净的图来成功地训练模型
总结
未来方向
- 尽管可靠DGL的算法有所进步,但仍然缺乏正式分析这些方法有效性的理论框架。例如,如何分析$DGL$设置中的分布外泛化边界仍然是一个悬而未决的问题。
- 在现实世界中,这些威胁可能同时发生。因此,需要一个统一的解决方案来缓解这些威胁造成的影响
- 鲁棒性和学习稳定性之间有着密切的联系。因此,从优化的角度来看,如何为$DGL$构建鲁棒的学习算法也是一个有趣的方向。
- 现有的对抗性攻击可靠性研究主要集中在相对较小的图上,如何将这些方法转化为真实世界的大规模图仍有待探索。
- 现有工作倾向于利用标准性能指标(如精度)来衡量$DGL$模型的稳健性,然而,这显然不足以评估整体可靠性性能。具有高精度的$DGL$算法可能对不同的属性组不公平,这导致不同数据组之间的精度和鲁棒性存在严重差异。这就需要在今后的工作中探索公平和稳健的$DGL$算法,并开发出超越准确性的原则性评估指标。
- $DGL$算法的一个问题是缺乏可解释性。为了解决这个问题,提出了反事实解释,作为理解算法如何做出决策的有力手段。虽然先前对视觉任务的研究表明,反事实解释和对抗性样本是具有许多相似性的密切相关的方法,但目前在$DGL$中系统地探索它们之间的联系的工作很少。
- 随着可靠的DGL算法的快速发展,研究社区需要真实世界的基准测试。一些特定环境的早期基准已经建立,例如,有工作提出了一个面向对象的数据集管理器和AI辅助药物发现的基准,该数据集管理器和基准专门针对数据噪音的分布转移问题而设计。有希望建立一个通用的基准平台,以涵盖本次调查中提到的更多可靠性方面。