【技术实现步骤摘要】
本专利技术涉及一种图后门攻击防御方法及系统,尤其涉及一种针对图片检索系统的图后门攻击防御方法及系统,属于数据安全领域。
技术介绍
1、gnn目前已成为对图结构数据进行分析的最先进工具,预训练的gnn模型已在任务特定标记图稀缺和或训练成本昂贵的领域获得越来越多的应用。然而图结构数据安全问题已出现在各种隐私敏感领域(如恶意软件分析、内存取证、欺诈检测和药物发现),其中后门攻击具有显著性的危险性。
2、在常用的图片检索系统中,攻击者利用后门攻击修改图片信息,将用户所需求的图片替换为攻击者指定的图片,从而造成使用者的用户体验下降。后门攻击是一种训练时间攻击,即在一小部分训练数据中注入触发模式,以便在测试时控制模型的预测。它们不会影响模型在干净示例上的性能,但只要触发模式在测试期间出现,就会欺骗模型做出错误的预测,如何准确高效地防御图后门攻击俨然成为一项具有挑战性的工作。然而,由于实际情况中图片检索系统的图库并不具有可信性,且对于图后门防御的方法都过于依赖节点标签,且并未寻求图解释以获得最优预测节点子集,无法取得良好的分类及预测效果,且不符合实际情况。
3、图片检索系统的图神经网络后门攻击方法按照触发器生成方式的不同可以划分为基于子图生成和基于梯度优化2种攻击方法。基于子图生成攻击方法通过随机生成符合小世界网络、随机网络或优先连接网络分布的子图作为触发器,或者将特殊模体结构作为触发器。基于梯度优化的后门攻击方法采用梯度优化生成器的方式生成有效的触发器发起后门攻击。
4、现有技术中,图片检索系统的后门攻击
技术实现思路
1、专利技术目的:针对上述现有技术存在的问题,本专利技术目的在于提供一种精度更高、可以针对训练阶段样本类标签被修改以及触发器被嵌入的问题进行防御的针对图片检索系统的图后门攻击防御方法及系统。
2、技术方案:为实现上述专利技术目的,本专利技术采用如下技术方案:
3、本专利技术所述的针对图片检索系统的图后门攻击防御方法,包括如下步骤:
4、步骤1,将图片检索系统中对图库检索时生成的关系图,作为数据集,在数据集中植入后门触发器,利用植入后门触发器的数据集训练出学生模型,并对数据集进行图对比学习,实现图增强策略,构建不依赖数据标签的图神经网络编码器,对数据集中的样本的节点信息进行编码;
5、步骤2,利用图神经网络解码器对图神经网络编码器编码的结果进行解码,输出样本特征,聚类解码后的样本特征,识别可疑样本,筛选干净样本;
6、步骤3,利用干净样本结合gnnexplainer方法获取对图预测起关键作用的节点子集,即重要样本;
7、步骤4,利用重要样本训练出一个教师模型,令教师模型对学生模型进行知识蒸馏,教师模型指导学生模型修正节点标签映射关系,从而获得修正后的良性图预测模型,实现图后门成功防御。
8、进一步地,步骤1所述的在数据集中植入后门触发器,利用植入后门触发器的数据集训练出学生模型,具体为:
9、在数据集中植入后门触发器,使后门触发器嵌入良性数据中,并修改标签,得到后门数据;
10、其中,所述后门触发器的嵌入方法通过混合函数m(g,g)实现,具体为根据后门触发器g的结构寻求良性样本g中最匹配的位置进行结构替换;
11、所述修改标签通过下式实现:
12、fb(m(g,g))=yt
13、式中,fb是后门模型,yt是目标类;
14、利用后门数据训练要攻击的目标模型,使目标模型形成留下后门的后门模型,即学生模型。
15、进一步地,步骤1所述的对数据集进行图对比学习,实现图增强策略,构建不依赖数据标签的图神经网络编码器,具体为:
16、针对所使用的数据集,图对比学习进行图增强操作构建正负样本;所述图增强操作,选取丢弃节点和随机删除连边两个方法,对于n个图样本获得gp和gp两种类型增强图,总数为2n,表示为:
17、gp,gq=daug(g)
18、式中daug(·)表示为图增强操作,g是良性样本;通过提取上述两种类型增强图gp和gp对应的嵌入特征来构建图神经网络的编码器。
19、进一步地,所述步骤2具体包括:
20、利用编码器提取样本特征进行聚类,以进行无监督学习,具体为利用k-means迭代聚类算法,通过最小化数据点与其所属簇中心之间的平方距离来确定最佳的聚类结果,将n个样本分为k个不重叠的类别,根据特征聚类确定样本的真实标签,对比原始标签;若样本标签类相同,则确定为干净样本;若样本标签类相异,则归结为可疑样本;分离干净样本和可疑样本。
21、进一步地,所述利用k-means迭代聚类算法,通过最小化数据点与其所属簇中心之间的平方距离来确定最佳的聚类结果,将n个样本分为k个不重叠的类别,具体包括以下步骤:
22、步骤2.1,选择聚类数k;
23、步骤2.2,从数据集中随机选择n个样本作为初始聚类中心;
24、步骤2.3,对于每个样本,计算它与每个聚类中心之间的欧式距离:
25、
26、式中,n是样本的特征维度,r和u为不同样本点,ri为样本r的第i维特征维度,ui为样本u的第i维特征维度,将样本分配给与其距离最近的聚类中心;
27、步骤2.4,对于每个聚类,计算该聚类中所有样本的平均值,得到新的聚类中心:
28、
29、式中,ci表示聚类i中的样本集合,∑r∈cir表示对聚类中所有样本的特征值求和;这些平均值代表了每个类别的中心点;
30、步骤2.5,重复步骤2.2至2.4,直到聚类中心不再变化或达到预定义的停止条件,此时,每个样本被分配到一个最终的聚类中心,形成k个不重叠的聚类。
31、进一步地,所述步骤3具体包括:
32、利用gnnexplainer对聚类算法所分离出的干净样本进行分析解释,识别出一个紧凑的子图结构和一部分在gnn预测中起关键作用的节点特征,将其表示为最大化gnn预测与可能子图结构分布之间的互信息:
33、
34、式中,g为良性样本,y为标签分布,设gc为完整的图,xc为特征节点子集,为需识别出的目标子图,其相关特征节点子集为xs={xj|vj∈gs},xj为目标本文档来自技高网...
【技术保护点】
1.一种针对图片检索系统的图后门攻击防御方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的针对图片检索系统的图后门攻击防御方法,其特征在于,步骤1所述的在数据集中植入后门触发器,利用植入后门触发器的数据集训练出学生模型,具体为:
3.根据权利要求1所述的针对图片检索系统的图后门攻击防御方法,其特征在于,步骤1所述的对数据集进行图对比学习,实现图增强策略,构建不依赖数据标签的图神经网络编码器,具体为:
4.根据权利要求1所述的针对图片检索系统的图后门攻击防御方法,其特征在于,所述步骤2具体包括:
5.根据权利要求4所述的针对图片检索系统的图后门攻击防御方法,其特征在于,所述利用K-means迭代聚类算法,通过最小化数据点与其所属簇中心之间的平方距离来确定最佳的聚类结果,将N个样本分为k个不重叠的类别,具体包括以下步骤:
6.根据权利要求1所述的针对图片检索系统的图后门攻击防御方法,其特征在于,所述步骤3具体包括:
7.根据权利要求6所述的针对图片检索系统的图后门攻击防御方法,其特征在于,所述步骤3还包括
8.根据权利要求1所述的针对图片检索系统的图后门攻击防御方法,其特征在于,所述步骤4具体方法为:
9.一种针对图片检索系统的图后门攻击防御系统,其特征在于,包括:
10.一种计算机系统,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述计算机程序被加载至处理器时实现根据权利要求1至8任一项所述的针对图片检索系统的图后门攻击防御方法的步骤。
...【技术特征摘要】
1.一种针对图片检索系统的图后门攻击防御方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的针对图片检索系统的图后门攻击防御方法,其特征在于,步骤1所述的在数据集中植入后门触发器,利用植入后门触发器的数据集训练出学生模型,具体为:
3.根据权利要求1所述的针对图片检索系统的图后门攻击防御方法,其特征在于,步骤1所述的对数据集进行图对比学习,实现图增强策略,构建不依赖数据标签的图神经网络编码器,具体为:
4.根据权利要求1所述的针对图片检索系统的图后门攻击防御方法,其特征在于,所述步骤2具体包括:
5.根据权利要求4所述的针对图片检索系统的图后门攻击防御方法,其特征在于,所述利用k-means迭代聚类算法,通过最小化数据点与其所属簇中心之间的平...
【专利技术属性】
技术研发人员:张佳乐,朱万全,眭浩,朱诚诚,成翔,孙小兵,
申请(专利权)人:扬州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。