Графічні нейронні мережі (GNN) досягли чудових продуктивності в класифікації вузлів (Yuan et al., 2025, Zhang et al., 2024), класифікації графіків (Luo et al., 2024) та прогнозування посилань (Su et al., 2025, Gou et al., 2025) шляхом агрегування інформації Node Node, щоб дізнатися структуру графіку та функції. Останні дослідження показали, що GNN успадковують вразливість глибокого навчання, де противник додає невеликі збурення (структури або особливості) до графіка, що призводить до неправильних прогнозів (Zügner et al., 2018, Yu et al., 2025). Наприклад, підроблені користувачі та підроблені відносини з ключовими вузлами можуть порушити розповсюдження інформації та підірвати довіру користувачів до соціальних мереж.

Графічні змагальні атаки можна класифікувати як цільові атаки та невідомі атаки на основі цілей атаки (Liu et al., 2022, Dai et al., 2022). У цільових атаках зловмисник зазвичай вибирає кілька вузлів як цільові вузли. GNNS неправильно класифікують цільові вузли шляхом зміна зв’язків між цільовими вузлами та іншими вузлами (Jin et al., 2020). Недоцільовані атаки мають на меті викликати глобальні вузли неправильної класифікації, втручаючись у всю структуру графіків (Chen et al., 2022b).

Порівняно з невідділими атаками, цільові атаки мають дві ключові переваги: ​​(1) Неприйнятість: під обмеженням підтримки Графік природності, цільові атаки лише змінюють посилання, пов'язані з цільовими вузлами (замість того, щоб змінити загальну структуру графіків), забезпечуючи збурений графік, непереборний від чистих графіків за допомогою загальних методів виявлення; (2) Ефективність: Зловмисники можуть точно орієнтуватися на основні вузли для досягнення гнучких ефектів, орієнтованих на ціль, що є більш практичним у реальних сценаріях (Lin et al., 2023). Зокрема, цілеспрямовані атаки також можуть відігравати позитивну роль у системах рекомендацій, таких як керівництво користувачами для виправлення вмісту в рекламі чи публічних рекомендаціях (Nguyen Thanh et al., 2023).

Оскільки навчання GNNS спирається на оптимізацію градієнта, градієнтна інформація виявляє, як GNN класифікують вхідні дані (Xing et al., 2023, Chen et al., 2023a), що робить атаки на основі градієнта найбільш широко використовуваним методом (Liu et al., 2022). Існуючі градієнтні атаки (наприклад, FGA Chen et al., 2018, Mga Chen et al., 2020) вирішили деякі проблеми з противником графіків: FGA використовує градієнт поточного моменту для створення збурень, тоді як MGA накопичує градієнти імпульсу з поточних та попередніх моментів. Однак залишається критичне обмеження: жадібні стратегії в більшості градієнтних атак (наприклад, вибору країв з найбільшим струмом градієнта), легко призводять до конвергенції до місцевої оптими, що призводить до неефективних атак. Наприклад, на фіг. 1 (а) показано, що FGA та MGA виявляють нестабільні втрати атаки на наборі даних Citeseer, і навіть MGA (з імпульсом) не може повністю уникнути субоптимальних напрямків оновлення (рис. 1 (б)). Ця місцева проблема Optima мотивує нас розробити більш надійну градієнтну цільову атаку для GNN.

Для вирішення вищезазначеної проблеми в цій роботі ми пропонуємо цільову атаку на GNN на основі середнього градієнта та оптимізації збурень, що називається AGPOA. AGPOA складається з двох компонентів: середнє обчислення градієнта та оптимізація збурень. У змагальних нападах зображення середній градієнт використовується для вирішення неефективності градієнтних атак та демонстрації його ефективності у задачі класифікації зображень (Wan et al., 2023). Натхненний цим, ми використовуємо середній метод градієнта для накопичення градієнтного напрямку для всіх моментів, що спрямовує атаку, щоб оновити глобальний оптимум атаки та уникнути нападу в місцевий оптимум. Попередні дослідження виявили, що напади часто змінюють зв’язки між подібними вузлами (Zügner et al., 2018). Іншими словами, напади можуть знищити подібність між вузлами. Тому ми використовували модуль оптимізації графіків для зміни структури графіків для подальшого покращення продуктивності атаки. Зокрема, AGPOA кількісно визначає структурну схожість та гомогенність на основі функцій між цільовими вузлами та їх сусідніми аналогами для оновлення змагальних збурень. Потім Agpoa перевозить їх за допомогою техніки перекриття Top-K. Широкі експерименти показали, що AGPOA досягає кращих показників неправильної класифікації та перенесення.

Крім того, ми підсумовуємо поточні основні градієнтні атаки та нашу модель, як показано в таблиці 1. Таблиця 1 систематично окреслює основні відмінності між чотирма категоріями моделей градієнтів (FGA (Chen et al., 2018), MGA (Chen et al., 2020), Nag-R (Zhao et al., 2023) та Agpoa) через чотири дивизі. Він чітко ілюструє технічну еволюцію змагальних атак зображення від одноцільної оптимізації до багатоцільної оптимізації спільної роботи.

У таблиці 1 видно, що відмінності між чотирма модельними категоріями принципово полягають у еволюції використання градієнтної інформації та глибині інтеграції градієнт-структури. Зокрема, прогресія рухається від одномоменту градієнта FGA до MGA градієнта імпульсу з подальшим NAG-R, що використовує рамки, що інтегрують градієнти та задню структуру. AGPOA пропонує спільну рамку, що інтегрує градієнти та структуру протягом усіх моментів. FGA та MGA страждають від високого градієнтного шуму та низької ефективності. NAG-R демонструє погану координацію через від'єднані градієнти та структуру. AGPOA долає локальну оптиму через усереднення градієнта, а потім досягає багатоцільної оптимізації за допомогою синергії градієнтної структури, вирішуючи недоліки вищезазначених підходів. Одночасно AGPOA забезпечує надійність за допомогою всеосяжного теоретичного аналізу.

Основні внески цього документу такі:

$•$ Ми пропонуємо нову атаку Agpoa на основі середньої градієнтної та оптимізації збурень, яка орієнтована на цільову атаку GNN.

$•$ Ми покращуємо ефективність нападу, накопичуючи середнє значення градієнта, щоб уникнути нападу в місцевий оптимум. Ми оптимізуємо структуру графіків за допомогою подібності вузла та метрики однорідності для поліпшення неприйнятності атаки.

$•$ Ми надаємо теоретичний аналіз, який демонструє перевагу AGPOA перед традиційними методами нападу на градієнті у зменшенні дисперсії втрати атаки, що ще більше зміцнює його теоретичну основу.

$•$ Ми порівнюємо AGPOA з найсучаснішими цільовими атаками у чотирьох типах загальних наборів даних, і результати показують, що AGPOA досягає значного вдосконалення.

Решта статті організована наступним чином: Розділ 2 коротко розглядає твори про змагальні атаки та захисні атаки GNNS. У розділі 3 наведено математичні вирази для навчання GNNS, нападів та правил модифікації градієнта. У розділі 4 детально описані компоненти AGPOA. У розділі 5 ми описуємо експериментальну установку, показуємо та аналізуємо експериментальні результати. У розділі 6 повідомляється про висновки.