GNNs Backdoor Attack - lkb1324/Bot-Adversarial-Attack-and-Detection GitHub Wiki

[USENIX Security 21] Xi Z, Pang R, Ji S, et al. Graph backdoor[C]//30th USENIX Security Symposium (USENIX Security 21). 2021: 1523-1540. 提出用注意力机制优化trigger的生成

[SACMAT'21] Zhang Z, Jia J, Wang B, et al. Backdoor attacks to graph neural networks[C]//Proceedings of the 26th ACM Symposium on Access Control Models and Technologies. 2021: 15-26.早期研究GNNs backdoor的工作，提出用随机生成的子图作为触发器，并研究了小世界模型，无标度网络等不同类型的子图的效果，发现小世界模型的子图最接近真实的干净网络的结构

[Pattern Recognition'24] Wang K, Deng H, Xu Y, et al. Multi-target label backdoor attacks on graph neural networks[J]. Pattern Recognition, 2024, 152: 110449.针对多分类任务设计的图后门攻击，包括选择触发器位置、中毒节点；根据多分类任务特点生成了特定触发器和损失函数（同样使用双层优化机制

[WiSec'21] Xu J, Xue M, Picek S. Explainability-based backdoor attacks against graph neural networks[C]//Proceedings of the 3rd ACM workshop on wireless security and machine learning. 2021: 31-36. 使用两种GNN解释方法（GNNExplainer和GraphLIME）来选择触发器注入的最优位置。GNNExplainer用于图分类任务，通过分析GNN的预测来理解图中每个结构对分类结果的影响，并选择最不重要的节点作为触发器注入位置。GraphLIME用于节点分类任务，通过修改不同子集的节点特征来探索后门攻击，选择最具代表性或最不具代表性的特征作为触发器。

[KDD'24] Lyu X, Han Y, Wang W, et al. Cross-context backdoor attacks against graph prompt learning[C]//Proceedings of the 30th ACM SIGKDD Conference on Knowledge Discovery and Data Mining. 2024: 2094-2105. 对graph promt learning进行后门攻击，将其视为预训练阶段的特征碰撞优化问题。通过调整触发图使得后门图与触发图的嵌入相碰撞，同时确保这些嵌入与干净图的嵌入不同

[aaai'24] Lee D, Lee J, Shin K. Spear and Shield: Adversarial Attacks and Defense Methods for Model-Based Link Prediction on Continuous-Time Dynamic Graphs[C]//Proceedings of the AAAI Conference on Artificial Intelligence. 2024, 38(12): 13374-13382. 提出了T-SPEAR针对连续时间动态图上的链接预测的对抗性攻击方法。在TGNN训练过程之前注入边扰动来实现攻击。扰动约束包括扰动预算、时间分布、对抗边的端点和每个节点的扰动次数；提出了T-SHIELD的鲁棒训练方法，以减轻对抗性攻击的影响。T-SHIELD通过使用边过滤和强制节点嵌入的时间平滑性来增强模型的鲁棒性，从而提高对对抗性攻击的抵抗力。