信也科技两篇论文成功收录至国际顶级学术会议AAAI 2022，图对抗攻击中的“矛”与“盾”

　　近日，由人工智能领域的主要学术组织之一 Association for the Advance of Artificial Intelligence(国际人工智能促进协会)主办的年会，也是人工智能国际顶级学术会议之一AAAI 2022以线上虚拟会议的形式召开。信也科技(NYSE:FINV)算法智能团队与浙江大学杨洋副教授团队、美国加州大学洛杉矶分校(UCLA)孙怡舟教授团队合作的两篇论文均被该会议收录。

　　AAAI是人工智能领域中历史最悠久、涵盖内容最广泛的国际顶级学术会议之一，也是中国计算机学会(CCF)推荐的人工智能领域A级国际学术会议之一。据了解，本届会议收到来自全球的 9215 篇投稿论文，而接受率仅为 15%，创历史新低。信也科技大数据团队与国内外知名教授合作的两篇论文被该会议成功收录，标志着信也科技在人工智能领域的研究进程中取得了重要的阶段性成果。

　　随着人工智能算法日益广泛的应用，算法的鲁棒性和安全性，受到越来越多的关注，这也是AAAI2022的热点议题之一。信也科技本次发表的两篇论文正是围绕图数据的对抗攻击，两篇论文分别研究图对抗攻击中的“矛”与“盾”：在攻击层面，研究表明，即使在攻击者仅知道目标模型是一个图模型，而没有任何其他模型信息且无法与模型做任何互动的情况下，依然有可能展开有效的攻击;在防御层面，研究面向图模型预训练框架的无监督鲁棒表示学习算法，通过一套防御策略便能有效阻断攻击者对各个不同下游任务造成的影响。

　　此次会议中,信也科技在名为《Blindfolded Attackers Still Threatening: Strict Black-Box Adversarial Attacks on Graphs》的论文中展示了其在针对图模型的严格黑盒对抗攻击中得到的成果，打碎了原有的幻像：只要完美地保护好模型就能拦截住所有类型的攻击。事实上哪怕攻击者对模型一无所知，也是有可能发起有效攻击的。

　　据论文研究，根据攻击者所能掌握的关于图模型的知识量，可以把攻击分为五类(如表1)。其中，本文提出了一种更接近实际情况的攻击方式——严格黑盒图攻击(STACK)，也就是攻击者对被攻击的模型一无所知，也无法通过查询模型来获取更多信息。相比于人脸识别等强互动的场景，这种情况在规则复杂的金融场景尤其常见。这也是本文的第一个重要贡献。

　　表1：不同的图对抗攻击，按照攻击者是否掌握模型的全部 (√ ), 有限 (◯), 或者没有 (×)信息来分类

　　STACK攻击策略能在更接近真实场景的情况下去模拟和预估受攻击的危害，但同时也带来很大的挑战。首先，绝大部分已有的图攻击策略都是为特定模型设计的，无法拓展到严格黑盒攻击的设定下。因此，第一个挑战是需要为各种各样的图模型找到一个共同的基石。其次，现有的方法总是需要用模型的预测结果或者替代模型的反馈去衡量攻击的影响。因此，第二个挑战是需要在没有来自被攻击模型的任何反馈的情况下，有效的定量并且高效的计算图攻击的强度。

　　图1：针对图模型的严格黑盒对抗攻击概况

　　本文的第二个贡献是，针对这两方面挑战，提出了一个通用的图滤波器，适用于各种图模型 ，并且推导出了一个高效的攻击策略来选择对抗的图数据边(如图1)。在此基础上，本文的第三个贡献是，通过大量实验验证：即使当攻击者对被攻击模型一无所知时，在节点分类和图分类这两类图数据最重要的应用场景上，模型效果都会因为攻击而大幅下降。

　　由信也科技发表的另外一篇题为《Unsupervised Adversarially Robust Representation Learning on Graphs》中，更将研究视角转向了面向图数据的无监督对抗鲁棒表示学习。

　　无监督/自监督的图预训练模型近几年受到了众多关注，并且可以推广到各种不同的下游应用中。然而，图预训练模型的对抗鲁棒性仍未被充分探索。该论文中提出，在无监督的图预训练框架中(如图2)，使用鲁棒的图编码器就能够有效防止对抗风险传播到下游任务中，并且图编码器学习得到的鲁棒图表征可以适用于不同的下游应用中，比如节点分类、链接预测和社区识别等。

　　图2：对抗攻击下的图预训练概览。如果图编码器易受攻击，对抗风险会通过受到扰动的图表征转导到每个下游任务。

　　研究无监督图预训练模型的鲁棒性时，模型的鲁棒性通常定义在标签空间上，即现有网络鲁棒性度量需要依据样本的预测结果或标签进行计算，并不适用于本文的无监督设置。而在无监督图表征模型中，如何在表征空间上定义鲁棒性度量是第一个挑战。

　　为了应对上述挑战，本文首先提出了一个基于信息论的图编码器鲁棒性衡量指标：图表征脆弱性(graph representation vulnerability, GRV)。其次，文章将鲁棒性学习问题形式化为一个优化问题，保证了图编码器的强表征能力和高鲁棒性。但是，如何有效地计算或逼近该优化问题的目标函数是第二个挑战。该挑战的难点在于：一方面，优化问题的目标函数非常难解;另一方面，如何在联合输入空间(由网络结构和节点特征组成)中描述攻击能力并确定扰动边界也同样棘手。

　　为了解决以上问题，文章采用概率分布之间的 Wasserstein 距离来量化攻击能力，并提供了一个搜索攻击策略的高效近似方案。其次，文章采用投影梯度下降法(projected gradient descent, PGD)的变种来解决所提出的优化问题。 最终，本文在对抗环境中能够学得一个高质量的鲁棒图编码器，并进一步探索了GRV和下游任务分类器的鲁棒性之间的理论联系。

　　本次AAAI收录的两篇论文正是信也科技与浙江大学和UCLA在图算法的鲁棒性和安全性领域的合作研究的新成果。信也科技-浙江大学联合人工智能研发中心在过去几年已经陆续在将图数据和图认知算法与风控反欺诈业务结合，图的预训练算法，图的结构学习，以及图算法的鲁棒性提升等领域做出了多项成果。

　　据悉,两篇论文在组委会国内外知名学者专家的匿名评审后获得高度认可,这也标志着信也科技在人工智能学术研究领域的重大飞跃。

　　信也科技在学术界备受认可，且在技术落地方面经验丰富，据悉其已实现了对信贷业务流程的全覆盖，如人脸识别、多场景OCR、声纹识别等多模态核身、增信技术，语音识别、意图识别、对话管理、语音生成等全流程智能对话机器人技术，以及基于复杂网络的不良中介识别和团伙识别技术等。

　　信也科技取得成绩的背后是长久以来着眼于科技并致力于科研的信念，未来的信也科技将继续保持对科技研发的关注与投入，不断突破并创新，努力实现“科技,让金融更美好”的使命。