信也科技兩篇論文成功收錄至國際頂級學術會議AAAI 2022，圖對抗攻擊中的“矛”與“盾”

近日，由人工智能領域的主要學術組織之一Association for the Advance of Artificial Intelligence(國際人工智能促進協(xié)會)主辦的年會，也是人工智能國際頂級學術會議之一AAAI 2022以線上虛擬會議的形式召開。信也科技(NYSE:FINV)算法智能團隊與浙江大學楊洋副教授團隊、美國加州大學洛杉磯分校(UCLA)孫怡舟教授團隊合作的兩篇論文均被該會議收錄。

AAAI是人工智能領域中歷史最悠久、涵蓋內(nèi)容最廣泛的國際頂級學術會議之一，也是中國計算機學會(CCF)推薦的人工智能領域A級國際學術會議之一。據(jù)了解，本屆會議收到來自全球的 9215 篇投稿論文，而接受率僅為 15%，創(chuàng)歷史新低。信也科技大數(shù)據(jù)團隊與國內(nèi)外知名教授合作的兩篇論文被該會議成功收錄，標志著信也科技在人工智能領域的研究進程中取得了重要的階段性成果。

隨著人工智能算法日益廣泛的應用，算法的魯棒性和安全性，受到越來越多的關注，這也是AAAI2022的熱點議題之一。信也科技本次發(fā)表的兩篇論文正是圍繞圖數(shù)據(jù)的對抗攻擊，兩篇論文分別研究圖對抗攻擊中的“矛”與“盾”：在攻擊層面，研究表明，即使在攻擊者僅知道目標模型是一個圖模型，而沒有任何其他模型信息且無法與模型做任何互動的情況下，依然有可能展開有效的攻擊;在防御層面，研究面向圖模型預訓練框架的無監(jiān)督魯棒表示學習算法，通過一套防御策略便能有效阻斷攻擊者對各個不同下游任務造成的影響。

此次會議中,信也科技在名為《Blindfolded Attackers Still Threatening: Strict Black-Box Adversarial Attacks on Graphs》的論文中展示了其在針對圖模型的嚴格黑盒對抗攻擊中得到的成果，打碎了原有的幻像：只要完美地保護好模型就能攔截住所有類型的攻擊。事實上哪怕攻擊者對模型一無所知，也是有可能發(fā)起有效攻擊的。

據(jù)論文研究，根據(jù)攻擊者所能掌握的關于圖模型的知識量，可以把攻擊分為五類(如表1)。其中，本文提出了一種更接近實際情況的攻擊方式——嚴格黑盒圖攻擊(STACK)，也就是攻擊者對被攻擊的模型一無所知，也無法通過查詢模型來獲取更多信息。相比于人臉識別等強互動的場景，這種情況在規(guī)則復雜的金融場景尤其常見。這也是本文的第一個重要貢獻。

表1：不同的圖對抗攻擊，按照攻擊者是否掌握模型的全部 (√ ), 有限 (?), 或者沒有 (×)信息來分類

STACK攻擊策略能在更接近真實場景的情況下去模擬和預估受攻擊的危害，但同時也帶來很大的挑戰(zhàn)。首先，絕大部分已有的圖攻擊策略都是為特定模型設計的，無法拓展到嚴格黑盒攻擊的設定下。因此，第一個挑戰(zhàn)是需要為各種各樣的圖模型找到一個共同的基石。其次，現(xiàn)有的方法總是需要用模型的預測結果或者替代模型的反饋去衡量攻擊的影響。因此，第二個挑戰(zhàn)是需要在沒有來自被攻擊模型的任何反饋的情況下，有效的定量并且高效的計算圖攻擊的強度。

圖1：針對圖模型的嚴格黑盒對抗攻擊概況

本文的第二個貢獻是，針對這兩方面挑戰(zhàn)，提出了一個通用的圖濾波器，適用于各種圖模型，并且推導出了一個高效的攻擊策略來選擇對抗的圖數(shù)據(jù)邊(如圖1)。在此基礎上，本文的第三個貢獻是，通過大量實驗驗證：即使當攻擊者對被攻擊模型一無所知時，在節(jié)點分類和圖分類這兩類圖數(shù)據(jù)最重要的應用場景上，模型效果都會因為攻擊而大幅下降。

由信也科技發(fā)表的另外一篇題為《Unsupervised Adversarially Robust Representation Learning on Graphs》中，更將研究視角轉向了面向圖數(shù)據(jù)的無監(jiān)督對抗魯棒表示學習。

無監(jiān)督/自監(jiān)督的圖預訓練模型近幾年受到了眾多關注，并且可以推廣到各種不同的下游應用中。然而，圖預訓練模型的對抗魯棒性仍未被充分探索。該論文中提出，在無監(jiān)督的圖預訓練框架中(如圖2)，使用魯棒的圖編碼器就能夠有效防止對抗風險傳播到下游任務中，并且圖編碼器學習得到的魯棒圖表征可以適用于不同的下游應用中，比如節(jié)點分類、鏈接預測和社區(qū)識別等。

圖2：對抗攻擊下的圖預訓練概覽。如果圖編碼器易受攻擊，對抗風險會通過受到擾動的圖表征轉導到每個下游任務。

研究無監(jiān)督圖預訓練模型的魯棒性時，模型的魯棒性通常定義在標簽空間上，即現(xiàn)有網(wǎng)絡魯棒性度量需要依據(jù)樣本的預測結果或標簽進行計算，并不適用于本文的無監(jiān)督設置。而在無監(jiān)督圖表征模型中，如何在表征空間上定義魯棒性度量是第一個挑戰(zhàn)。

為了應對上述挑戰(zhàn)，本文首先提出了一個基于信息論的圖編碼器魯棒性衡量指標：圖表征脆弱性(graph representation vulnerability, GRV)。?其次，文章將魯棒性學習問題形式化為一個優(yōu)化問題，保證了圖編碼器的強表征能力和高魯棒性。?但是，如何有效地計算或逼近該優(yōu)化問題的目標函數(shù)是第二個挑戰(zhàn)。該挑戰(zhàn)的難點在于：?一方面，優(yōu)化問題的目標函數(shù)非常難解;另一方面，如何在聯(lián)合輸入空間(由網(wǎng)絡結構和節(jié)點特征組成)中描述攻擊能力并確定擾動邊界也同樣棘手。

為了解決以上問題，文章采用概率分布之間的Wasserstein 距離來量化攻擊能力，并提供了一個搜索攻擊策略的高效近似方案。其次，文章采用投影梯度下降法(projected gradient descent, PGD)的變種來解決所提出的優(yōu)化問題。最終，本文在對抗環(huán)境中能夠?qū)W得一個高質(zhì)量的魯棒圖編碼器，并進一步探索了GRV和下游任務分類器的魯棒性之間的理論聯(lián)系。

本次AAAI收錄的兩篇論文正是信也科技與浙江大學和UCLA在圖算法的魯棒性和安全性領域的合作研究的新成果。信也科技-浙江大學聯(lián)合人工智能研發(fā)中心在過去幾年已經(jīng)陸續(xù)在將圖數(shù)據(jù)和圖認知算法與風控反欺詐業(yè)務結合，圖的預訓練算法，圖的結構學習，以及圖算法的魯棒性提升等領域做出了多項成果。

據(jù)悉,兩篇論文在組委會國內(nèi)外知名學者專家的匿名評審后獲得高度認可,這也標志著信也科技在人工智能學術研究領域的重大飛躍。

信也科技在學術界備受認可，且在技術落地方面經(jīng)驗豐富，據(jù)悉其已實現(xiàn)了對信貸業(yè)務流程的全覆蓋，如人臉識別、多場景OCR、聲紋識別等多模態(tài)核身、增信技術，語音識別、意圖識別、對話管理、語音生成等全流程智能對話機器人技術，以及基于復雜網(wǎng)絡的不良中介識別和團伙識別技術等。

信也科技取得成績的背后是長久以來著眼于科技并致力于科研的信念，未來的信也科技將繼續(xù)保持對科技研發(fā)的關注與投入，不斷突破并創(chuàng)新，努力實現(xiàn)“科技,讓金融更美好”的使命。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。 ）