【技术实现步骤摘要】
本申请涉及信息安全,具体地,涉及一种基于图神经网络的可解释性图分类对抗攻击方法。
技术介绍
1、近几年中,图数据通常被用来表示复杂的信息系统与交互关系,例如社交关系、知识图谱、生物分子图、引文网络等许多研究领域。通过将实际复杂的信息嵌入图数据结构中,研究者通过分析图数据并挖掘其隐含的信息,从而解决实际的问题。例如在药物发现领域,将蛋白质等化合物的结构表示为图,分析不同的拓扑结构与分子属性,研究者可以更高效的研究并设计药物;在推荐系统中,通过分析分析用户与商品的交互图,推荐系统能够更精确地匹配用户的偏好商品,从而增加平台的利润。
2、随着图神经网络在社交网络分析、分子结构识别等领域的广泛应用,其安全性问题日益受到关注。对抗攻击,即通过细微修改输入数据来误导模型做出错误预测的技术,已成为检测和提高图神经网络鲁棒性的重要手段。然而,现有的对抗攻击方法往往缺乏针对性,且难以找到最有效的攻击路径。因此,开发一种能够精准识别并利用图神经网络脆弱性的对抗攻击方法具有重要的实际意义。
3、目前,图神经网络中对抗攻击的方案有:rewatt、rl-s2v、gradargmax。
4、rewatt提出了一种图重连操作,与传统的添加或删除边相比,这种方法对图的影响更为隐蔽。基于图重连操作,图重连不改变节点数,边数和图的总度数。此外,模型拉普拉斯矩阵的每个特征值衡量其对应特征向量的平滑度。特征向量的平滑度衡量的是其元素与相邻节点的不同程度。因此,具有较小特征值的前几个特征向量是相当平滑的。模型进一步采用强化学习来学习攻
5、rl-s2v利用强化学习来确定对图结构和特征进行扰动的最佳策略。图数据被视为环境,而进行攻击操作的算法被视为代理。代理的目标是通过与环境交互学习的算法,以最大化误导图神经网络的模型的预测结果的奖励。代理通过观察图的当前状态和采取的行动以及由此产生的预测结果变化,来学习其策略。策略的学习采用策略梯度方法,以优化长期奖励。
6、gradargmax是一种基于梯度的对抗攻击方法,通过分析图神经网络模型的梯度信息来识别和执行对图结构的最有效扰动,目的是最大化对图神经网络预测结果的影响。这种方法的关键优势在于它直接利用了图神经网络模型的内部工作机制,即通过计算损失函数相对于图结构的梯度,基于梯度分析的结果,在梯度值最大的边中选择进行添加,以及在梯度值最小的边中选择进行删除,来精确地定位对模型输出影响最大的潜在修改点。
7、上述三种算法均未考虑图神经网络在决策过程中的因果效应,且在攻击成本与隐蔽性方面均未均衡考虑。尽管rewatt、gradargmax和rl-s2v为图神经网络的对抗攻击提供了创新的方法,它们分别通过图重连、梯度优化和强化学习来进行图神经网络的对抗攻击,但rewatt在提升攻击隐蔽性的同时可能牺牲了攻击效果,gradargmax虽然精确但可能遇到梯度饱和问题和较高的计算开销,而rl-s2v则需大量训练且可能面临泛化能力不足的问题。
技术实现思路
1、为了克服现有技术中的至少一个不足,本申请提供一种基于图神经网络的可解释性图分类对抗攻击方法。
2、第一方面,提供一种基于图神经网络的可解释性图分类对抗攻击方法,包括:
3、确定图中每个节点的因果域;
4、将图输入到图神经网络,得到节点的预测结果,以及因果域对于预测结果的因果概率;
5、基于因果概率确定节点对预测结果的信息量的大小;
6、基于节点对预测结果的信息量的大小构建节点对应的信息流损失函数;
7、求解信息流损失函数,确定因果域的最优解,即最优因果域;
8、在最优因果域中,确定扰动边和/或节点的扰动特征;
9、根据扰动边和/或节点的扰动特征对图进行扰动,生成对抗样本。
10、在一个实施例中,基于因果概率确定节点对预测结果的信息量的大小,采用以下公式表示:
11、
12、其中,inf(vi→yj)为节点vi对预测结果yj的信息量的大小,yj为节点vi的第j个预测结果,p(yj|aipqk,xp)为节点vi的因果域对预测结果yj的因果概率;a为邻接矩阵,p表示节点vi的特征标号、q表示节点vi的邻居标号,k表示第q个邻居的特征标号,x为特征集合,xp为节点vi的第p个特征,i为节点标号。
13、在一个实施例中,信息流损失函数为:
14、
15、其中,inf(vi→yi)为节点vi对预测结果yj的信息量的大小,δ表示正则项,elbo为可观测变量的概率密度的下界,δ1、δ2分别为正则化第一分量和正则化第二分量,kl(gc,g)为因果域gc和图g之间的相对熵,a为图g中节点vi的邻接矩阵,ac为因果域gc中节点vi的邻接矩阵。
16、在一个实施例中,求解信息流损失函数,得到因果域的最优解,即最优因果域,包括:
17、求解信息流损失函数,确定信息流损失函数值最小时对应的邻接矩阵,即最优因果域。
18、在一个实施例中,在最优因果域中,确定扰动边,包括:
19、确定最优因果域中每个边影响预测结果的重要性;
20、根据每个边影响预测结果的重要性,构建基于梯度优化的损失函数;
21、求解基于梯度优化的损失函数,确定基于梯度优化的损失函数值最大时对应的边,作为初步确定的扰动边;
22、若初步确定的扰动边满足相似度条件以及边扰动预算条件,则初步确定的扰动边记为最终的扰动边。
23、在一个实施例中,在最优因果域中,确定节点的扰动特征,包括:
24、确定因果域中的每个节点的每个特征的特征扰动量;
25、根据特征扰动量筛选出符合特征扰动预算条件的特征,作为初步筛选的特征;
26、确定因果域中的每个节点的初步筛选的特征对应的图卷积神经网络的特征预测值;
27、根据特征预测值,确定每个初步筛选的特征对应的特征梯度损失函数值;
28、特征梯度损失函数值的最大值对应的特征即为最终确定的节点的扰动特征。
29、在一个实施例中,相似度条件为:
30、扰动后的图与原图的结构相似度小于期望相似度;扰动后的图为删除初步确定的扰动边的图。
31、在一个实施例中,边扰动预算条件为:
32、当前的初步确定的扰动边对应的扰动次数nj<be,be为边扰动预算设定值。
33、在一个实施例中,特征扰动量为:节点的原始特征与更新后的特征之间的距离dis;
34、特征扰动预算条件为:dis<bf,bf为特征扰动预算设定值。
35、第二方面,提供一种基于图神经网络的可解释性图分类对抗攻击装置,包括:
36、因果域确定模块,用于确定图中每个节点的因果域;
37、预测模块,用于将本文档来自技高网...
【技术保护点】
1.一种基于图神经网络的可解释性图分类对抗攻击方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,其中,基于所述因果概率确定所述节点对预测结果的信息量的大小,采用以下公式表示:
3.如权利要求1所述的方法,其特征在于,所述信息流损失函数为:
4.如权利要求3所述的方法,其特征在于,其中,求解所述信息流损失函数,得到所述因果域的最优解,即最优因果域,包括:
5.如权利要求1所述的方法,其特征在于,其中,在所述最优因果域中,确定扰动边,包括:
6.如权利要求1所述的方法,其特征在于,其中,在所述最优因果域中,确定节点的扰动特征,包括:
7.如权利要求5所述的方法,其特征在于,所述相似度条件为:
8.如权利要求5所述的方法,其特征在于,所述边扰动预算条件为:
9.如权利要求6所述的方法,其特征在于,特征扰动量为:节点的原始特征与更新后的特征之间的距离Dis;
10.一种基于图神经网络的可解释性图分类对抗攻击装置,其特征在于,包括:
【技术特征摘要】
1.一种基于图神经网络的可解释性图分类对抗攻击方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,其中,基于所述因果概率确定所述节点对预测结果的信息量的大小,采用以下公式表示:
3.如权利要求1所述的方法,其特征在于,所述信息流损失函数为:
4.如权利要求3所述的方法,其特征在于,其中,求解所述信息流损失函数,得到所述因果域的最优解,即最优因果域,包括:
5.如权利要求1所述的方法,其特征在于,其中,在所述最优因果...
【专利技术属性】
技术研发人员:尹小燕,王嘉乐,林瑶,薛文慧,李佳,魏潇然,陈晓江,房鼎益,
申请(专利权)人:西北大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。