第一位主讲人是20级的陈娜,她此次为大家分享的是一篇名为《Graph Adversarial Training: Dynamically Regularizing Based on Graph Structure》的论文,这篇论文提出了一种针对图上的对抗训练(AT),它是一种动态正则化技术,可以抵御输入特征的最坏情况扰动,提高模型的鲁棒性和泛化性。

陈娜同学首先对比了没有扰动和增加扰动,该扰动应用于输入节点的特征,对于图神经网络的预测的影响。模型通过在图上传播节点嵌入来实现图平滑度约束。在模型的目标节点的连接节点上传播所施加的扰动,从而能够导致错误的预测。

因此,神经网络容易受到视觉分类任务中输入特征的微小但有意的干扰。由于要额外考虑示例之间的联系(例如,具有引文链接的文章往往属于同一类别),因此图神经网络可能对扰动更为敏感,因为来自连接示例的扰动会加剧对目标示例的影响。

增加扰动的图形示例

随后介绍了在这项工作中,作者探索图上的对抗训练,旨在提高图上学习模型的鲁棒性和泛化性。采用了图对抗训练(GraphAT),在学习构造和抵抗微扰时要考虑到关联示例的影响。也介绍了该工作给出的GraphAT的一般公式,可以看作是基于图结构的动态正则化方案。

最后也讲了作者的GraphAT的实用性,将其用于最新的图神经网络模型图卷积网络(GCN)。讲解了其在两个引文图(CiteseerCora)和一个知识图(NELL)上进行的实验,验证了GraphAT的有效性,它在节点分类准确性上比GCN的常规训练高出4.51%。

接下来是20级的周静,他此次为大家分享的是一篇名为《Updates-Leak: Data Set Inference and
Reconstruction Attacks in Online Learning
》的论文,这篇论文是研究了黑盒ML模型的输出在之前和之后的变化,发现了更新之后,更新集的泄露将构成针对黑盒ML模型的新攻击面,并且此类信息泄漏可能会损害ML模型所有者的知识产权和数据隐私。

周静同学在做背景介绍

周静同学首先为大家介绍了涉及这篇论文的一些基础背景:推动当前机器学习发展的关键因素是前所未有的大规模数据。因此,收集高质量数据对于构建高级ML模型至关重要。数据收集是一个连续的过程,这反过来又将ML模型的训练也转变为一个连续的过程:模型所有者无需一次训练ML模型并在以后继续使用它,而是需要继续使用新的模型来更新模型,收集的数据。由于从头开始进行培训通常是禁止的,因此通常可以通过在线学习来实现。而用于执行模型更新的数据集称为更新集。

不同输出对更新集的泄漏

在介绍了基础背景之后,周静同学从而提出了本文作者所研究的主要问题:使用相同的数据样本集查询的ML模型的两个版本的不同输出是否会泄漏相应更新集的信息?这构成了针对机器学习模型的新攻击面。更新集的信息泄漏可能会损害模型所有者的知识产权和数据隐私。

随后介绍了作者针对此,按照编码器解码器公式进行四次攻击,从而可以推断出更新集的各种信息。应用最新的深度学习技术进行对更新集的新的攻击。特别是,提出了一种基于生成对抗网络(GAN)的混合生成模型(CBM-GAN),但其中包含允许重建准确样本的重建损失。

实验与其他方法的对比图

随后周静同学向我们展示了论文的实验部分,实验表明所提出的应用深度学习技术进行的新攻击具有很强的性能。

以下是陈娜、周静同学在这次seminar中的表现评分。