早期的對抗訓(xùn)練方法主要是應(yīng)用在圖像，語音和文本數(shù)據(jù)。因?yàn)檫@些數(shù)據(jù)是連續(xù)的，對抗的樣本和噪音比較容易產(chǎn)生。

圖像有噪音擾動(dòng)，圖數(shù)據(jù)哪里來的擾動(dòng)？

舉個(gè)例子：在在線社交網(wǎng)絡(luò)中，水軍賬戶通過關(guān)注正常賬戶，發(fā)布日常內(nèi)容，來降低自己在社交網(wǎng)絡(luò)的中可疑度，從而避免被檢測到而封號。這里就是水軍通過產(chǎn)生噪音躲避封號檢測的例子，說明圖噪音的擾動(dòng)還是很常見的。

圖數(shù)據(jù)對抗攻擊的定義是：給定一個(gè)圖（節(jié)點(diǎn)和邊），通過修改這個(gè)圖，使得這種修改在不被察覺到情況下，能夠降低算法（例如節(jié)點(diǎn)分類和鏈接預(yù)測）在圖數(shù)據(jù)上面的表現(xiàn)。

圖被修改之后帶來的變化定義為擾動(dòng)，即攻擊者對圖數(shù)據(jù)的攻擊后的擾動(dòng)必須滿足與一些約束。

擾動(dòng)類型
1.維持結(jié)構(gòu)的擾動(dòng)：加減節(jié)點(diǎn)和邊會改變一些圖的結(jié)構(gòu)屬性，例如度分布，節(jié)點(diǎn)中心性。
其本質(zhì)都是對邊（Link）的改變。所以新產(chǎn)生的對抗樣本要保持這些結(jié)構(gòu)屬性的變化在一定范圍內(nèi)。目前大部分文章都是這種類型的攻擊；

2.維持屬性的擾動(dòng)：第二種擾動(dòng)是通過修改節(jié)點(diǎn)屬性特征來實(shí)現(xiàn)，所以攻擊者要保證這些屬性不能發(fā)生明顯變化，我們可以通過衡量節(jié)點(diǎn)（邊）特征向量的相似度來維持特征的穩(wěn)定性。

攻擊方法和類別

1.投毒攻擊：新產(chǎn)生的對抗樣本將被用于新算法的訓(xùn)練，形象地來說，攻擊者對算法的訓(xùn)練集進(jìn)行投毒，從而影響訓(xùn)練好的算法在未被污染的測試集上面的表現(xiàn)；

2.逃脫攻擊：新產(chǎn)生的對抗樣本只存在測試集中，算法將在未被污染的訓(xùn)練集上訓(xùn)練。攻擊者的目標(biāo)是讓對抗樣本影響原來訓(xùn)練好的算法在測試集的表現(xiàn)。

攻擊任務(wù):

1.節(jié)點(diǎn)相關(guān)的任務(wù)：對節(jié)點(diǎn)分類任務(wù)還有對節(jié)點(diǎn)嵌入的攻擊都屬于節(jié)點(diǎn)層面的攻擊，其目的是讓分類器分錯(cuò)，降低其精確率或者召回率。
因?yàn)楣?jié)點(diǎn)分類是目前圖數(shù)據(jù)的主要任務(wù)，因此大部分圖數(shù)據(jù)對抗攻擊論文都有研究到節(jié)點(diǎn)分類任務(wù)；

2.鏈接相關(guān)的任務(wù)：鏈接預(yù)測是圖數(shù)據(jù)上面的另一個(gè)主要任務(wù)，推薦系統(tǒng)，知識圖譜，社交網(wǎng)絡(luò)都用到它。
對于鏈接層面的攻擊，主要目的讓算法預(yù)測到錯(cuò)的鏈接目標(biāo)；

3.全圖相關(guān)的任務(wù)：全圖相關(guān)的任務(wù)主要是對整個(gè)圖的分類，常見于對生物結(jié)構(gòu)的分類任務(wù)。
一般是學(xué)習(xí)圖整體結(jié)構(gòu)的低維嵌入，然后進(jìn)行分類。這方面的對抗攻擊研究還比較少。

另一個(gè)角度的攻擊分類：

1.白盒攻擊：攻擊者掌握對方系統(tǒng)的所有信息，包括使用何種方法，算法輸出結(jié)果，計(jì)算中的梯度等等。這種場景是指當(dāng)攻擊者完全攻入目標(biāo)系統(tǒng)的時(shí)候；

2.灰盒攻擊：攻擊只掌握一部分信息便可以發(fā)動(dòng)攻擊，這種攻擊比白盒攻擊更具有危害，因?yàn)楣粽卟恍枰耆テ颇繕?biāo)系統(tǒng)就可以發(fā)動(dòng)攻擊。在研究中，我們可以針對具體任務(wù)和場景，對灰盒攻擊再進(jìn)一步細(xì)分類別；

3.黑盒攻擊：攻擊者只能查詢到有限的攻擊結(jié)果，對目標(biāo)系統(tǒng)的機(jī)制完全不了解。這種攻擊難度最大，對與防御方的危害也最大。

根據(jù)攻擊目標(biāo)劃分：

1.可用性攻擊：攻擊者的目標(biāo)是降低整個(gè)系統(tǒng)的表現(xiàn)。

例如整體的精確度，召回率等等；

2.完整性攻擊：攻擊者的目標(biāo)是降低對于特定熱任務(wù)或者對象的表現(xiàn)，對整體表現(xiàn)不要求。

例如，在好友推薦任務(wù)（鏈路預(yù)測）中，攻擊者可以讓算法無法預(yù)測到特定兩個(gè)人之間的好友關(guān)系。