近来对图卷积神经网络（GCNs）的研究及其应用日益成熟，虽然它的性能已经达到很高的水准，但GCNs在受到对抗攻击时模型鲁棒性较差。现有的防御方法大都基于启发式经验算法，没有考虑GCNs结构脆弱的原因。最近，已有研究表明GCNs脆弱的原因是非鲁棒的聚合函数。本文从崩溃点和影响函数抗差性角度出发，分析平尾均值函数和均值聚合函数二者的鲁棒性。平尾均值相较于均值函数，其崩溃点更高。平尾均值的影响函数跳跃有界，可抵抗异常值；而均值函数的影响函数无界，对异常值十分敏感。随后在GCNs框架的基础上，通过将图卷积算子中的聚合函数更换为更为鲁棒的平尾均值，提出一种改进的鲁棒防御方法WinsorisedGCN。最后采用Nettack对抗攻击方法研究分析所提出的模型在不同扰动代价下的鲁棒性，通过准确率和分类裕度评价指标对模型性能进行评估。实验结果表明，所提出的防御方案相较于其他基准模型，能够在保证模型准确率的前提下，有效提高模型在对抗攻击下的鲁棒性。

• 单位
  杭州师范大学