一种基于深度聚类的图神经网络高效对抗攻击方法技术

图神经网络在各种图任务中取得了巨大成功

【技术实现步骤摘要】
一种基于深度聚类的图神经网络高效对抗攻击方法


[0001]本专利技术涉及图神经网络
、
节点分类
、
对抗性攻击领域
。
图对抗攻击是一种针对机器学习系统的安全威胁，旨在通过对输入数据进行微小但精心设计的修改，欺骗机器学习模型并导致错误的输出结果
。

技术介绍

[0002]图神经网络
(Graph Neural Networks
，
GNN)
是一类旨在对图数据进行推理的深度学习方法，在各种实际应用中取得了出色的表现，如文本分类
、
推荐系统和交通预测
。GNN
的发展促进了图分析在现实世界任务中的广泛应用，即节点分类，图分类，链接预测，和社区检测
。
然而现有工作表明，
GNN
很容易受到对抗性攻击的影响，即那些故意通过对输入图的轻微甚至是人类无法察觉的修改来欺骗模型
。
这些在图结构或节点特征上产生的难以察觉的扰动，能够降低所学到的节点表示，从而使
GNN
在下游任务中的性能恶化
。
因此，对抗性攻击对于识别基于图的模型的弱点具有重要意义
。
[0003]现有的图对抗攻击的研究工作主要集中在图修改攻击和图注入攻击
。
图修改攻击直接修改现有的图，包括修改边的图结构攻击，如
Nettack、PGD
；修改节点特征的特征攻击，如
GC
‑
RWCS、InfMax
‑
Unif。
图注入攻击在不修改原始图的情况下增加新的恶意节点，如
AFGSM、TDGIA、HAO。
然而，现有的大多数攻击只是简单地采用了基于梯度的优化方法，而没有充分利用图数据本身的信息，图数据在实现更高性能的攻击方面具有相当大的潜力
。
同时，现有的攻击设置与现实之间仍有相当大的差距
。
假设攻击者可以改变很大一部分节点的输入是不合理的，并且即使有预算限制，在只进行少量扰动时，攻击效果依然不够明显
。
例如，在现实世界的社交网络中，攻击者通常只能接触到几个机器人账户，而且攻击者很难入侵并改变账户的属性
。
[0004]针对上述存在的问题，在图结构攻击
GSAtk
的基础上，提出一种基于深度聚类的特征对抗攻击
AGRC。
该方法融合了多视图的图数据信息，提高了对抗攻击效率
。
攻击包括两个阶段：
1)
获取同时捕捉节点属性和结构信息的节点表示，使用根据表示学习到的聚类算法进一步定义一种新的节点度量方法，然后凭借得分选择在特征和局部结构中具有代表性的节点；
2)
在每个所选节点的预算下改变节点的特征
。
本专利技术重点研究第一个阶段中的节点选择策略
。
具体是通过训练由自编码器与图卷积网络
(Graph Convolutional
‑
Networks
，
GCN)
相结合的编码框架来获得具有多视图信息的节点表示，而节点的重要性得分是通过聚类算法得到的聚类中心
、
节点预测类别和节点度数来定义
。

技术实现思路

[0005]本专利技术提出一种基于深度聚类的特征对抗攻击方法，该方法的架构如图1所示
。AGRC
攻击方法包括节点选择与特征扰动两个步骤，重点关注节点选择策略的研究
。
首先构建并训练由自编码器与
GCN
组成的编码框架，由此得到图数据的节点表示
。
然后根据表示训练得到学习后的聚类算法，以此来通过聚类结果与节点度定义节点的重要性得分
。
最后根
据领域知识对凭借得分所选预算内的节点进行特征扰动
。
[0006]1.
节点选择
[0007]在图对抗性攻击中，攻击者希望模型犯尽可能多的错误，因此，对于进行特征扰动的节点选择是非常重要的
。
若随机选择攻击节点，可能会导致将预算浪费在一些无用的节点上
。
例如，攻击者可能会重复对同一集群中模式非常相似的节点下毒，这是没有必要的
。
为了充分利用攻击预算，建议在图中选择具有代表性的不同节点作为中毒节点
。
获得代表性节点的一种直接方法是对节点特征进行聚类
。
然而，这种方法没有考虑对图结构数据至关重要的图拓扑结构
。
此外，学习一个有效的数据表示对聚类非常重要
。
因此，提出使用编码器来获得节点表示以进行聚类，策略架构如图2所示
。
[0008]在本专利技术中，为了一般性起见，采用基本自动编码器来学习原始数据的表示，以适应不同类型的数据特征
。
假设自动编码器有
L
层，
i
代表层数
。
编码器部分的第
i
层学到的表示
H
(i)
，可以表示为：
[0009][0010]其中
φ
是全连接层的激活函数，如
Relu
或
Sigmoid
函数
。
和分别是编码器中第
i
层的权重矩阵和偏差
。
此外，定义
X
表示图的
F
维节点特征，将
H
(0)
表示为原始数据
X。
[0011]编码器部分之后是解码器部分，通过几个全连接层重建输入数据，其公式为：
[0012][0013]其中和分别是解码器中第
i
层的权重矩阵和偏置
。
[0014]解码器部分的输出是对原始数据的重建这引导了以下目标函数：
[0015][0016]其中
N
是图中的节点数量，自动编码器能够从数据本身学习有用的表示，例如
H
(1)
，
H
(2)
，
...
，
H
(L)
，而忽略了样本之间的关系
。
因此，接下来将介绍如何使用
GCN
模块来传播这些由深度神经网络
(Deep Neural Networks
，
DNN)
模块生成的表示，如图3所示
。
一旦所有由
DNN
模块学习的表示被整合到
GCN
中，那么
GCN
可学习的表示将能够容纳两种不同的信息，即数据本身和数据之间的关系
。
特别是，有了权重矩阵
W
，由
GCN
的第
i
层学到的表示本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于深度聚类的图神经网络高效对抗攻击方法，其特征在于，它融合了图拓扑信息和属性信息来选择更具影响力的中毒节点，以提高网络攻击的效率，攻击包括两个阶段：
1)
获取同时捕捉节点属性和结构信息的节点表示，使用根据表示学习到的聚类算法进一步定义一种新的节点度量方法，然后凭借得分选择在特征和局部结构中具有代表性的节点；
2)
在每个所选节点的预算下改变节点的特征；具体是通过训练由自编码器与图卷积网络
GCN
相结合的编码框架来获得具有多视图信息的节点表示，而节点的重要性得分是通过聚类算法得到的聚类中心
、
节点预测类别和节点度数来定义
。2.
该图对抗攻击方法根据权利要求1所述的特征，进一步特征在于，设计了一个新的节点选择策略，这个策略有以下的步骤：
(1)
采用基本自动编码器来学习原始数据的节点表示以适应不同类型的数据特征，其中
φ
是全连接层的激活函数，和分别是编码器中第
l
层的权重矩阵和偏差；
(2)
使用
GCN
模块来传播这些由自动编码器模块生成的表示，将自动编码器学习的表示整合到
GCN
中，即将每个
DNN
层学习到的表示转移到相应的
GCN
层进行信息传播，进一步得到一个更加完整和强大的表示：其中
∈
是一个平衡系数，统一设置为
0.5
，然后使用作为
GCN

【专利技术属性】
技术研发人员：关东海，李凝书，袁伟伟，
申请(专利权)人：南京航空航天大学，
类型：发明
国别省市：