Differentiable Adversarial Attacks for Marked Temporal Point Processes

📄 arXiv: 2501.10606v1 📥 PDF

作者: Pritish Chakraborty, Vinayak Gupta, Rahul R, Srikanta J. Bedathur, Abir De

分类: cs.LG, cs.CR, stat.ML

发布日期: 2025-01-17

备注: AAAI 2025 (Main Track)

💡 一句话要点

提出PERMTPP,一种可微的对抗攻击方法,用于攻防时序点过程模型。

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 时序点过程 对抗攻击 可微攻击 事件序列 模型鲁棒性

📋 核心要点

  1. 现有MTPP对抗攻击难以在序列性质、时间尺度和长度不同的CTES上直接应用距离范数最小化。
  2. PERMTPP通过置换事件并添加时间戳噪声,并设计可微方案,在最小化CTES距离的同时最小化似然性。
  3. 实验表明PERMTPP在真实数据集上具有有效的攻击和防御能力,并降低了推理时间。

📝 摘要(中文)

本文提出了一种专门针对标记时序点过程(MTPP)模型的对抗攻击方法。一个好的对抗攻击的关键标准是其不可察觉性。对于图像或文本等对象,这通常通过限制在某个固定的$L_p$范数球内的扰动来实现。然而,由于MTPP的序列性质、不同的时间尺度和长度,在MTPP的上下文中,类似地最小化两个CTES(连续时间事件序列)之间的距离范数是具有挑战性的。我们通过首先置换事件,然后将加性噪声合并到到达时间戳来解决这个问题。然而,这种对抗攻击的最坏情况优化是一个困难的组合问题,需要在输入序列长度上呈阶乘增长的排列空间中进行探索。因此,我们提出了一种新的可微方案PERMTPP,通过学习最小化似然性,同时最小化两个CTES之间的距离,从而执行对抗攻击。在四个真实世界数据集上的实验证明了PERMTPP的攻击和防御能力,以及更低的推理时间。

🔬 方法详解

问题定义:论文旨在解决针对标记时序点过程(MTPP)模型的对抗攻击问题。现有的对抗攻击方法,例如直接最小化CTES之间的距离范数,由于MTPP的序列性质、时间尺度和长度变化,难以保证攻击的不可察觉性,并且优化过程计算复杂度高,效率低。

核心思路:论文的核心思路是通过对事件进行置换并添加时间戳噪声来生成对抗样本。为了解决置换带来的组合优化难题,论文提出了可微的PERMTPP方案,通过学习的方式在最小化CTES距离的同时最小化似然性,从而实现高效的对抗攻击。

技术框架:PERMTPP的整体框架包含以下几个主要步骤:1) 对原始CTES进行事件置换;2) 对置换后的CTES的时间戳添加噪声;3) 使用可微的PERMTPP方案,通过优化损失函数来学习置换和噪声的参数,从而生成对抗样本。损失函数同时考虑了对抗样本与原始样本的距离以及对抗样本的似然性。

关键创新:PERMTPP的关键创新在于提出了可微的对抗攻击方案,将离散的事件置换操作转化为可微的学习过程。这使得可以使用梯度下降等优化算法来高效地生成对抗样本,避免了在庞大的排列空间中进行搜索。

关键设计:PERMTPP的关键设计包括:1) 使用Gumbel-Softmax技巧来近似离散的置换操作,使其可微;2) 设计了同时考虑CTES距离和似然性的损失函数,以保证对抗样本的不可察觉性和攻击效果;3) 针对不同的MTPP模型,设计了相应的攻击策略。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,PERMTPP在四个真实世界数据集上实现了有效的对抗攻击,并且具有较低的推理时间。相较于其他对抗攻击方法,PERMTPP在保证攻击效果的同时,能够更好地维持对抗样本的不可察觉性。此外,实验还验证了PERMTPP的防御能力,表明通过对抗训练可以有效提升MTPP模型的鲁棒性。

🎯 应用场景

该研究成果可应用于提高时序事件预测模型的安全性和鲁棒性,例如在金融欺诈检测、网络安全事件预测、医疗诊断等领域。通过对抗训练,可以增强模型抵抗恶意攻击的能力,提升其在真实场景中的可靠性。此外,该方法还可以用于评估不同MTPP模型的安全性,为模型选择提供参考。

📄 摘要(原文)

Marked temporal point processes (MTPPs) have been shown to be extremely effective in modeling continuous time event sequences (CTESs). In this work, we present adversarial attacks designed specifically for MTPP models. A key criterion for a good adversarial attack is its imperceptibility. For objects such as images or text, this is often achieved by bounding perturbation in some fixed $L_p$ norm-ball. However, similarly minimizing distance norms between two CTESs in the context of MTPPs is challenging due to their sequential nature and varying time-scales and lengths. We address this challenge by first permuting the events and then incorporating the additive noise to the arrival timestamps. However, the worst case optimization of such adversarial attacks is a hard combinatorial problem, requiring exploration across a permutation space that is factorially large in the length of the input sequence. As a result, we propose a novel differentiable scheme PERMTPP using which we can perform adversarial attacks by learning to minimize the likelihood, while minimizing the distance between two CTESs. Our experiments on four real-world datasets demonstrate the offensive and defensive capabilities, and lower inference times of PERMTPP.