针对图神经网络的黑盒逃逸图注入攻击方法技术

本发明专利技术公开了一种针对图神经网络的黑盒逃逸图注入攻击方法，包括如下步骤：步骤一：获取代理图数据集G

【技术实现步骤摘要】
针对图神经网络的黑盒逃逸图注入攻击方法


[0001]本专利技术涉及深度学习
，具体是针对图神经网络的黑盒逃逸图注入攻击方法。

技术介绍

[0002]图是由节点及其连接关系组成的非欧氏数据结构，具有表示复杂耦合关系的能力。许多现实生活场景都可以用图结构来建模，比如社交平台，交通系统，推荐系统和财务风险评估系统等。深度学习模型具有很强的学习能力，并在自然语言处理和计算机视觉等领域得到了广泛研究，但是，由于图的特定非欧氏数据性质，传统的欧氏数据深度学习模型在处理图结构数据时表现不佳。因此，大量的工作都在致力于更好地开发图神经网络(Graph Neural Networks，简称GNNs)来有效地整合图数据的节点特征和拓扑结构信息，捕捉节点之间潜在的数据流。
[0003]尽管图神经网络已经取得了不错的进展，但它们很容易受到对抗性攻击的影响，即微小但精心设计的扰动可能导致图神经网络模型的性能大幅度下降。前人大量的工作致力于研究图修改攻击(Graph Modification Attacks，简称GMA)，试图通过在图中的现有节点或拓扑中添加小扰动来误导图神经网络模型的预测，例如在不同类型的节点之间添加恶意边，或者篡改部分节点属性等等。然而，在许多现实场景中，修改原始图中的数据往往需要极高的操作权限，因此越来越多的人开始关注更符合显示场景的图注入攻击(Graph Injection Attack，简称GIA)，即攻击者通过生成少量恶意节点并与原图中的节点建立连接来进行攻击。例如在社交网络中篡改已有用户的评论是需要较高权限的，而注册一个新的用户来发表恶意言论来引导舆论则相对简单。然而目前关于图注入攻击方法的研究仍处于初级阶段，攻击者通常难以同时兼顾攻击性能及其自身隐蔽性。
[0004]因此，需要针对图神经网络的黑盒逃逸图注入攻击方法，可以使得攻击者在测试阶段黑盒情况下根据图数据的拓扑和节点特征有针对性地注入恶意节点，同时在优化恶意节点特征的同时提高其隐蔽性，从而兼顾攻击者的破坏性与隐蔽性，提高攻击者在图神经网络模型的节点分类任务上的攻击性能。

技术实现思路

[0005]本专利技术的目的是针对现有黑盒逃逸图注入攻击技术无法兼顾攻击者的破坏性与隐蔽性的不足，提供针对图神经网络的黑盒逃逸图注入攻击方法，这种方法可以保证攻击性能与攻击隐蔽性，提高攻击者在图神经网络模型的节点分类任务上的攻击性能。
[0006]实现本专利技术目的的技术方案是：
[0007]针对图神经网络的黑盒逃逸图注入攻击方法，包括如下步骤：
[0008]步骤一：获取代理图数据集G
sur
，从众包平台渠道获取代理图数据集G
sur
＝(V
sur
，E
sur
，X
sur
，L
sur
)，其中V
sur
为节点集，表示图数据集G
sur
中所有的节点，E
sur
为边集，表示节点间存在的所有边，X
sur
为节点集V
sur
的所有特征拼接而得的特征矩阵，L
sur
为节点集V
sur
中每个
节点所对应的标签组成的标签集；
[0009]步骤二：训练代理模型f
sur
，选择一个有代表性的图神经网络模型作为代理模型f
sur
，然后在代理数据集G
sur
训练f
sur
直到其收敛；
[0010]步骤三：获取原始受害者图数据集G，根据攻击目标从众包平台渠道中获取原始受害者图数据集G＝(V，E，X，L)，其中V为节点集，表示图数据集G中所有的节点，E为边集，表示节点间存在的所有边，X为节点集V的所有特征拼接而得的特征矩阵，L为节点集V中每个节点所对应的标签组成的标签集，由于黑盒设定下无法获取原始受害者图数据集G中的标签集L，故L在初始状态时为空集；
[0011]步骤四：使用代理模型f
sur
为原始受害者图数据集G生成标签集L，由于黑盒设定下无法获取原始受害者图数据集G中的标签集L，故需要使用已经收敛的代理模型f
sur
预测原始受害者图数据集G中所有节点的标签，并将f
sur
预测的标签作为标签集L；
[0012]步骤五：计算注入节点集V
inj
的候选邻居节点集V
nei
，根据原始受害者图数据集G中的拓扑结构和节点属性，计算节点的信息域即ID和分类间隔即CM，根据ID和CM计算最终的节点对抗脆弱性即AF)，选择G中对抗脆弱性较大的节点作为注入节点的候选邻居节点集V
nei
；
[0013]步骤六：构建注入节点集V
inj
中的节点与原始受害者图数据集G的拓扑连接，在确定候选集V
nei
之后，基于V
nei
中节点的噪声类别和注入节点的边攻击预算E
inj
，进一步细粒度划分候选节点集V
nei
，将相同噪声类的E
inj
个节点划分为一个簇，每个簇视为一个注入节点的候选邻居集，为了增强注入节点的隐蔽性，候选邻居节点集V
nei
中的节点只能作为一个注入节点的候选邻居；
[0014]步骤七：自适应优化注入节点的特征X
inj
，运用C&W损失优化注入节点的特征，并对优化后的注入节点特征进行限制，以保证注入节点特征不超出原始特征域的范围，注入节点的特征优化完成后，即得到包含注入节点的扰动图G
per
；
[0015]步骤八：攻击受害者模型f
vit
，在测试阶段且不改变受害者模型f
vit
的模型参数的情况下，受害者模型f
vit
将扰动图G
per
作为输入并执行下游任务。
[0016]本技术方案的优点或有益效果：
[0017]1.本技术方案采用注入恶意节点的策略来攻击图神经网络，而不需要修改原图中已存在的节点属性或者拓扑特征，该攻击技术更贴近现实场景；
[0018]2.本技术方案在注入节点的拓扑构建和特征优化过程中充分考虑了攻击的危害性和隐蔽性，在攻击具有一定防御能力的图神经网络模型时，攻击性能要明显优于现有的攻击基线模型。
[0019]3.本技术方案通过计算节点的对抗脆弱性缩小了后续操作的搜索空间，节约了时间和空间的资源消耗，可以使得攻击运用于大规模图的场景下；
[0020]这种方法能够提高针对图神经网络的攻击隐蔽性并获得较好的攻击精度。
附图说明
[0021]图1为实施例的流程图。
具体实施方式
[0022]下面结合附图及具体实施例对本专利技术作进一步的详细描述，但不是对本专利技术的限定。
[0023]实施例：
[00本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.针对图神经网络的黑盒逃逸图注入攻击方法，其特征在于，包括如下步骤：步骤一：获取代理图数据集G
sur
，从众包平台渠道获取代理图数据集G
sur
＝(V
sur
,E
sur
,X
sur
,L
sur
)，其中V
sur
为节点集，表示图数据集G
sur
中所有的节点，E
sur
为边集，表示节点间存在的所有边，X
sur
为节点集V
sur
的所有特征拼接而得的特征矩阵，L
sur
为节点集V
sur
中每个节点所对应的标签组成的标签集；步骤二：训练代理模型f
sur
，选择一个有代表性的图神经网络模型作为代理模型f
sur
，然后在代理数据集G
sur
训练f
sur
直到收敛；步骤三：获取原始受害者图数据集G，根据攻击目标从众包平台渠道中获取原始受害者图数据集G＝(V,E,X,L)，其中V为节点集，表示图数据集G中所有的节点，E为边集，表示节点间存在的所有边，X为节点集V的所有特征拼接而得的特征矩阵，L为节点集V中每个节点所对应的标签组成的标签集，由于黑盒设定下无法获取原始受害者图数据集G中的标签集L，故L在初始状态时为空集；步骤四：使用代理模型f
sur
为原始受害者图数据集G生成标签集L，由于黑盒设定下无法获取原始受害者图数据集G中的标签集L，故需要使用已经收敛的代理模型f
sur
预测原始受害者图数据集G中所有节点的标签，并将f
s...

【专利技术属性】
技术研发人员：王金艳，苏琳琳，甘泽明，李先贤，
申请(专利权)人：广西师范大学，
类型：发明
国别省市：