图压缩新突破:MRGC实现对抗攻击下的鲁棒图压缩
Paper: https://arxiv.org/pdf/2510.26451
Code: https://github.com/RingBDStack/MRGC
讲解视频: https://www.bilibili.com/video/BV18oUYBPEex
图压缩(Graph Condensation, GC)技术通过合成小型“压缩图”,使图神经网络(GNN)在小图上训练即可逼近原始大图的性能。然而,现有方法在面对特征、结构或标签层面的对抗攻击时极为脆弱,压缩图质量与下游任务性能显著下降。
本文介绍最新研究成果 MRGC(Manifold-constrained Robust Graph Condensation),首次从流形几何视角揭示对抗攻击破坏图压缩的本质机制,并提出通用防御框架,在三类攻击下均实现显著鲁棒性提升。
01 背景与挑战:脆弱的压缩图
图压缩的核心价值在于降维与简化——通过将高维、稀疏的大图映射至低维、紧凑的合成图,降低分类复杂度。但现实图数据常含噪声或遭受恶意攻击,而当前GC方法普遍假设输入数据干净。一旦原始图受扰动,压缩图流形结构即被破坏,导致性能崩塌。
图中展示了GCond在结构、特征、标签攻击下的压缩质量变化趋势,直观印证其鲁棒性缺陷。
围绕该问题,研究提出三个关键科学问题:
Q1: 现有鲁棒GNN能否直接提升GC鲁棒性?
Q2: 攻击究竟破坏了GC的哪些核心几何属性?是否可理论建模?
Q3: 如何设计通用、可嵌入的防御策略应对多类型攻击?
02 预实验分析
现有防御手段的失效(Q1)
实验验证了两种典型迁移思路:(1)以鲁棒模型(如MedianGCN)为GC骨干网络;(2)在受攻击图上完成压缩后,再用鲁棒模型训练。结果表明:二者性能均劣于标准GCN。
原因在于,鲁棒GNN依赖注意力或重加权机制过滤噪声,而压缩图是高度抽象、密集的人工合成结构,传统去噪机制易误删关键信息,出现“水土不服”。
核心发现:分类复杂度的几何解释(Q2)
研究引入分类复杂度(Classification Complexity)理论,从流形几何出发将其解构为三个维度:
1. 本征维度(Intrinsic Dimension, ID)
衡量数据实际分布的低维流形维度。ID越低,数据越紧凑,模型泛化能力越强。
2. 边界复杂度(Boundary Complexity)
以曲率刻画类间决策边界的平滑程度。曲率越高,边界越扭曲,分类难度越大。
3. 类别歧义(Class Ambiguity)
反映不同类别流形重叠程度,重叠越多,分类不确定性越高。
实验监测发现:
• 正常GC过程使本征维度平均下降89.25%,体现天然降维倾向;
• 对抗攻击则导致分类复杂度指标平均飙升547.54%。
结论:对抗攻击的本质并非直接摧毁模型,而是逆转GC“降低分类复杂度”的几何目标,迫使压缩图流形变得高维、扭曲、重叠,从而引发性能崩溃。
03 MRGC:基于流形约束的鲁棒图压缩
基于上述发现,MRGC提出三项互补的流形约束模块,协同保障压缩图几何结构稳定性:
1. 本征维度流形正则化
利用拉普拉斯近似估计压缩图流形ID,并作为正则项强制约束ID(G′) < ID(G),抑制攻击引发的维度膨胀。
2. 曲率感知流形平滑
引入高斯曲率与Ricci曲率联合加权节点结构重要性,最小化加权曲率,促使决策边界保持平滑。
3. 类级流形解耦
通过最小化“各类流形体积之和”与“整体流形体积”的差值,推动不同类别流形分离,缓解歧义。
04 实验结果
在Cora、CiteSeer、PubMed等五个真实数据集上,MRGC全面验证对结构、特征、标签三类攻击的鲁棒性:
1. 变压缩率测试
在Cora全压缩率区间(1.3%–5.2%)及PubMed极低压缩率(0.08%)下,MRGC持续领先,最高领先次优方法约4个百分点。
2. 变攻击预算测试
当标签扰动达40%时,MRGC在CiteSeer上仍比第二名高出4.75%;而专为结构攻击设计的RobGC在特征/标签攻击下性能急剧恶化。
3. 消融实验
移除任一模块(D/C/S)均导致性能下降,其中本征维度正则化(D)贡献最显著,证实三者协同构建完整防御体系。
4. 分类复杂度验证
对比显示:普通GC在攻击下ID与Fisher判别比(FDR)剧烈上升;MRGC成功将其稳定维持于低位,实证其几何约束机制有效。
05 总结
MRGC开创性地将图压缩鲁棒性问题转化为流形几何约束问题,通过控制本征维度、平滑曲率、解耦类流形三大路径,统一抵御特征、结构与标签攻击。该工作不仅提出实用框架,更揭示了图压缩“降低分类复杂度”的内在机理,为鲁棒图学习提供了新范式。