Normalisation and Initialisation Strategies for Graph Neural Networks in Blockchain Anomaly Detection

Este artigo apresenta uma ablação sistemática de estratégias de inicialização e normalização em três arquiteturas de Redes Neurais em Grafos (GCN, GAT e GraphSAGE) para detecção de anomalias no conjunto de dados Elliptic Bitcoin, revelando que a eficácia dessas técnicas é dependente da arquitetura e oferecendo diretrizes práticas para pipelines de combate à lavagem de dinheiro com desequilíbrio severo de classes.

O essencial

Imagine que o mundo das transações financeiras (como o Bitcoin) é um gigantesco mapa de conexões, onde cada pessoa ou empresa é um ponto e cada transferência de dinheiro é uma linha ligando esses pontos.

O problema é que os criminosos (lavadores de dinheiro) não agem sozinhos; eles formam grupos secretos dentro desse mapa. Detectar um criminoso olhando apenas para uma pessoa isolada é como tentar achar um espião em uma multidão olhando apenas para o rosto dele, sem ver com quem ele está conversando.

É aqui que entram as Redes Neurais de Grafos (GNNs). Elas são como "detetives superinteligentes" que olham não só para a pessoa, mas para todo o grupo ao redor dela para entender se há algo suspeito.

No entanto, o artigo que você pediu para explicar revela um segredo importante: mesmo com um detetive superinteligente, se você não der as ferramentas certas para ele começar a trabalhar, ele vai falhar.

Os autores do estudo (Dang, Chien, Dev e Nijsse) descobriram que existem dois "ajustes de fábrica" cruciais que a maioria das pessoas ignora:

1. A "Inicialização" (Como começar): É como escolher a temperatura inicial de um forno. Se você começar muito frio ou muito quente, o bolo (o modelo) não cresce direito.
2. A "Normalização" (Como organizar a bagunça): É como um professor que organiza a sala de aula. Se um aluno grita muito (um ponto com muitas conexões), ele pode abafar os outros. A normalização garante que todos sejam ouvidos de forma justa.

O Grande Experimento: Quem é o melhor detetive?

Os pesquisadores testaram três tipos de "detetives" (arquiteturas de IA) diferentes no famoso banco de dados Elliptic (que contém dados reais de transações de Bitcoin):

1. GCN (O Clássico): É o detetive tradicional, confiável e simples.
2. GAT (O Observador Focado): É o detetive que usa "atenção". Ele decide quem é mais importante ouvir em cada grupo.
3. GraphSAGE (O Coletor Ágil): É o detetive que aprende com amostras rápidas, ótimo para redes que mudam o tempo todo.

O Que Eles Descobriram? (A Parte Divertida)

A grande descoberta é que não existe uma "fórmula mágica" única. O que funciona para um, pode estragar o outro. É como se cada carro precisasse de um tipo diferente de gasolina para correr mais rápido.

• Para o GraphSAGE (O Coletor Ágil):

  • O Segredo: Ele adora começar com uma "Inicialização Xavier" (uma temperatura de forno específica).
  • A Analogia: É como um atleta que precisa apenas de um bom aquecimento para correr. Se você tentar adicionar "Normalização" (como dar óculos escuros para ele), ele fica confuso e corre mais devagar.
  • Resultado: Funciona melhor sozinho, apenas com o ajuste inicial certo.

• Para o GAT (O Observador Focado):

  • O Segredo: Ele precisa de ambos. Precisa da "Inicialização Xavier" E da "Normalização GraphNorm".
  • A Analogia: Imagine um maestro de orquestra. Ele precisa saber qual nota começar (Inicialização) E precisa de um maestro assistente que garanta que o trompete não grite mais que o violino (Normalização). Sem o assistente, a música fica um caos.
  • Resultado: Foi o que mais melhorou quando recebeu os dois ajustes.

• Para o GCN (O Clássico):

  • O Segredo: Ele é o "velho de guerra". Não precisa de muitos ajustes.
  • A Analogia: É como um carro antigo que funciona bem apenas com a chave na ignição. Tentar colocar turbo ou novos assentos (Normalização) não ajuda muito e às vezes até atrapalha.
  • Resultado: O jeito padrão de configurá-lo já era o melhor.

Por que isso importa para o mundo real?

O mundo do combate à lavagem de dinheiro (AML) é um campo de batalha difícil porque:

1. Desequilíbrio: Existem milhões de transações normais e apenas algumas milhares de criminosas. É como procurar uma agulha em um palheiro, mas a agulha é invisível.
2. Tempo: O que é crime hoje pode não ser amanhã. O modelo precisa aprender com o passado para prever o futuro, sem "vazar" informações do futuro para o passado.

Os autores mostraram que, ao escolher a combinação certa de ferramentas para o tipo de detetive certo, podemos pegar mais criminosos e cometer menos erros (falsos positivos), economizando tempo e dinheiro dos bancos.

Resumo em uma frase

Este estudo diz: "Não tente usar o mesmo remédio para todas as doenças. Se você quer detectar crimes financeiros com Inteligência Artificial, descubra qual tipo de IA você está usando e ajuste as ferramentas de treinamento especificamente para ela, senão você pode acabar prendendo o policial em vez do ladrão."

Eles disponibilizaram todo o código e os testes na internet para que qualquer pessoa possa repetir o experimento e ver que, às vezes, o segredo não está em criar um novo super-herói, mas em ensinar o herói que já temos a lutar da maneira correta.

Resumo técnico

Título: Estratégias de Normalização e Inicialização para Redes Neurais em Grafos na Detecção de Anomalias em Blockchain

1. Problema e Contexto

A detecção de fraudes financeiras e lavagem de dinheiro (AML) em redes de transações de criptomoedas (como o Bitcoin) é um desafio crítico. Os dados de transações formam naturalmente grafos, onde comportamentos ilícitos emergem de estruturas coordenadas em vez de registros isolados. Embora as Redes Neurais em Grafos (GNNs) sejam promissoras para capturar padrões relacionais, sua eficácia em benchmarks reais (como o conjunto de dados Elliptic) depende criticamente de práticas de treinamento muitas vezes negligenciadas: inicialização de pesos e normalização.

O artigo identifica lacunas na literatura sobre:

• Como propriedades dos grafos de transação (heterofilia, viés de grau, deriva temporal) limitam as GNNs.
• O impacto das estratégias de inicialização na estabilidade da otimização.
• Se métodos de normalização específicos para grafos (como GraphNorm) superam métodos tradicionais (BatchNorm, LayerNorm) na redução de drift de características e over-smoothing.
• Qual combinação de técnicas é ideal para arquiteturas específicas (GCN, GAT, GraphSAGE) em cenários de desequilíbrio severo de classes.

2. Metodologia

Os autores realizaram uma ablação sistemática e controlada focada em três arquiteturas GNN principais: GCN (Graph Convolutional Network), GAT (Graph Attention Network) e GraphSAGE.

• Dataset: Utilizaram o Elliptic Bitcoin Dataset, contendo ~203 mil nós (transações) e ~234 mil arestas. O dataset possui um desequilíbrio severo: 2% ilícito, 21% lícito e 77% desconhecido.
• Divisão Temporal: Para evitar vazamento de informação (data leakage), os dados foram divididos estritamente por tempo (29 passos de tempo para treino, 10 para validação, 10 para teste), simulando um cenário de implantação real onde o modelo prevê transações futuras.
• Estratégias Testadas:
  • Inicialização: Comparação entre a inicialização padrão da arquitetura e a inicialização Xavier (uniforme).
  • Normalização: Comparação entre a configuração base e a aplicação de GraphNorm (que normaliza estatísticas ao nível do grafo, preservando variância e mitigando over-smoothing).
• Otimização de Hiperparâmetros: Utilizaram o framework Optuna (com algoritmos TPE e ASHA) para ajustar taxas de aprendizado, dimensões ocultas, dropout e número de camadas, focando na maximização da AUPRC (Área sob a Curva de Precisão-Recall), métrica mais adequada para dados desequilibrados do que a AUC-ROC ou acurácia.
• Avaliação: Além de métricas globais, utilizaram bootstrapping (100 repetições de subamostragem) para medir robustez e avaliaram o desempenho em pontos de operação de alta confiança (90º, 99º e 99,9º percentis).

3. Principais Contribuições

1. Análise Sistemática: Primeiro estudo detalhado que isola o efeito de inicialização e normalização em grafos de AML, demonstrando que não existe uma "solução única" universal.
2. Insights Dependentes da Arquitetura: Revelam que a eficácia das técnicas de treinamento varia drasticamente dependendo da arquitetura GNN escolhida.
3. Framework Reprodutível: Disponibilização de um código aberto com divisões temporais rigorosas, sementes fixas e resultados completos de ablação, estabelecendo um novo padrão para avaliação em benchmarks como o Elliptic.

4. Resultados Chave

Os experimentos demonstraram que as melhores combinações são específicas para cada arquitetura:

• GraphSAGE:
  • Melhor Estratégia: Inicialização Xavier sozinha.
  • Desempenho: Alcançou o pico de performance com AUPRC de 0.6678 (aumento de +0.013 sobre a base).
  • Observação: A adição de GraphNorm trouxe retornos decrescentes e até reduziu ligeiramente o desempenho, sugerindo que a normalização ao nível do grafo pode interferir no mecanismo de agregação de vizinhança do GraphSAGE.
• GAT (Graph Attention Network):
  • Melhor Estratégia: Combinação de GraphNorm + Xavier.
  • Desempenho: Melhorou significativamente em relação à base, atingindo AUPRC de 0.6568 (+0.055 sobre a base).
  • Observação: A normalização específica para grafos ajudou a estabilizar a agregação baseada em atenção sob a distribuição de graus enviesada do dataset Elliptic.
• GCN (Graph Convolutional Network):
  • Melhor Estratégia: Configuração Base (padrão).
  • Desempenho: AUPRC de 0.5993.
  • Observação: O GCN mostrou baixa sensibilidade a modificações; tanto Xavier quanto GraphNorm não trouxeram ganhos consistentes ou até degradaram a precisão-recall.

Comparação com o Estado da Arte:
O modelo GraphSAGE com Xavier superou o benchmark anterior reportado por Deprez et al. (0.6392 de AUPRC), alcançando 0.6678, demonstrando que otimizações de treinamento podem superar inovações puramente arquiteturais em certos contextos.

5. Significado e Conclusão

O estudo conclui que, para a detec de anomalias em blockchain com desequilíbrio de classes severo:

• Não há estratégia universal: A escolha de inicialização e normalização deve ser guiada pelo viés indutivo da arquitetura específica.
• Importância da Prática de Treinamento: Estratégias de treinamento bem escolhidas (como Xavier para GraphSAGE ou GraphNorm+Xavier para GAT) são tão cruciais quanto a escolha do modelo.
• Guia Prático: Oferece diretrizes claras para engenheiros de ML em pipelines de AML:
  • Se usar GraphSAGE: Foque na inicialização Xavier.
  • Se usar GAT: Combine GraphNorm com Xavier.
  • Se usar GCN: Mantenha a configuração padrão, pois alterações podem não ajudar.

O trabalho destaca a necessidade de protocolos de avaliação padronizados (divisões temporais e métricas de desequilíbrio) para permitir comparações justas futuras e aponta para a necessidade de testar essas técnicas em datasets mais complexos (como Elliptic2) e arquiteturas temporais avançadas.