将深度学习模型应用于图数据之上,已经在很多图相关任务领域中表现出了优异的性能,例如社交网络和知识图谱等。但研究表明,与其它经典深度神经网络一样,当图神经网络的输入图数据中包含精心构造的对抗扰动时,模型性能会大幅度下降,这类含有恶意扰动的图数据被称之为对抗样本,构造对抗样本用于攻击图神经网络的过程就是图对抗攻击。现有图对抗攻击通常通过直接修改原始图的全局拓扑结构来构造对抗样本,但这种修改会改变图中重要的拓扑特性,容易被检测系统所察觉,因此在多数现实应用中并不可行。同时很多高性能的攻击方法假设攻击者能够获取目标模型的架构、梯度和参数等完整信息,但在现实场景中,往往无法获取目标模型的详细信息。针对上述问题,本文从以下两个方面进行了研究:（1）为了避免对抗攻击导致原始图中的拓扑结构信息被修改,提出了一种基于强化学习的单节点注入攻击算法（Single Node Injection Attack,SNIA）,通过伪造具有虚假特征的虚假节点,并将其连接到图中的真实节点上。插入新节点的攻击策略可以在不改变图中现有连接结构的基础上达到攻击图神经网络模型的目的。同时为了确保虚假节点能够绕过检测系统不被目标模型所察觉,借鉴了生成对抗网络的原理,通过在SNIA模型中引入鉴别网络来达到生成的虚假节点与原始节点具有相似特征的目的。SNIA将添加虚假节点的过程建模为马尔科夫决策过程,其中当前图结构表示状态,选择节点作为动作,并使用强化学习算法评估每个动作以生成对抗样本。经过实验证明,SNIA所得到的对抗样本能够使得目标图卷积网络模型的误分类率达到80%左右,同时可以用于攻击多种不同类型的图神经网络模型。（2）为了进一步提高扰动的不可察觉性,本文考虑了更加受限的实际攻击场景,提出了基于强化学习的单节点对抗攻击（Single Node Adversarial Attack,SNAA）,SNAA仅通过修改图中目标节点的一阶邻居节点特征来构造扰动。SNAA首先将修改节点特征的过程建模为马尔科夫决策过程,使用当前图表示状态,动作为修改节点特征,然后使用基于Actor-Critic框架的强化学习算法评估每个动作以生成扰动。并且为了进一步提高扰动的效率,研究了多种选择被攻击节点的方法。通过在多个数据集上进行实验,表明了SNAA能够对各种图神经网络实施有效的攻击;对比多种基线算法表明,攻击单个节点的特征比攻击单条边更加有效。本论文所提出的两种图对抗攻击算法均属于间接攻击,即并不直接攻击目标节点,这种攻击策略在物理世界中更具实用性,因为攻击者通常只能操纵自己的节点。使用本文所提出的攻击算法得到的对抗样本,利用对抗学习框架训练鲁棒性图神经网络模型。实验结果表明,对抗训练后的模型对对抗性扰动表现出一定程度上的防御能力。通过对图数据上对抗攻击算法的研究,能够了解图神经网络在面对恶意攻击时的鲁棒性,从而进一步提高模型的可解释性,推动图神经网络能够应用于更广泛的领域。