一种基于积分梯度的图对抗攻击方法技术

技术编号:39399633 阅读:19 留言:0更新日期:2023-11-19 15:53
本发明专利技术涉及一种基于积分梯度的图对抗攻击方法,采用如下步骤:一

【技术实现步骤摘要】
一种基于积分梯度的图对抗攻击方法


[0001]本专利技术涉及一种基于积分梯度的图对抗攻击方法,属于深度学习和网络安全



技术介绍

[0002]图结构的数据在现实生活中出现的特别广泛,如社交网路

交通网络和生物网络等,这种数据通常包含了很丰富的信息,所以研究人员开发了各种各样的图表示学习方法,如图嵌入方法

图卷积网络和图注意力网络等,以此学习一个图的低维嵌入,来学习图结构数据中包含的信息,学习到的这个低维嵌入可以用在各种下游任务中,如链接预测

节点分类和图分类等

[0003]但是研究发现,图表示学习模型很容易受到对抗性攻击

对抗性攻击可以针对图数据中的节点

边或整个图结构,生成干扰,来欺骗或干扰图神经网络或其它图表示学习模型,从而导致它们性能的下降

常见的对抗性攻击分为以下几类:节点攻击

边攻击

图结构攻击

对抗性训练

如果一个银行的客户管理系统中的分类功能受到对抗性攻击,那可能会出现误导客户分类

信息泄露

金融欺诈等种种问题

因此,研究各种图学习模型的鲁棒性和开发对对抗性攻击具有鲁棒性的模型是很重要的

[0004]近年来,研究人员提出了许多图对抗性攻击方法,针对图结构数据中的节点

边或整个图结构进行攻击;但大部分都是针对监督模型提出来的攻击方法,如
Nettack
攻击方法,通过梯度计算对节点特征进行扰动,使图神经网络对目标节点的分类产生误导;
SGA
攻击方法,通过计算梯度符号,快速找到使节点分类错误的边攻击目标;这些攻击方法过于依赖目标模型的标签,攻击需要访问目标模型的标签信息,这可能在某些场景下是不可行的,特别是在对手不具备目标模型的标签访问权限时;在一些场景下,攻击者可能无法直接访问目标模型的标签信息,比如黑盒攻击或转移攻击,这时,监督的攻击方法就无法直接应用


技术实现思路

[0005]本专利技术所要解决的技术问题是提供一种不依赖于任何标签,降低节点分类任务精度的基于积分梯度的图对抗攻击方法

[0006]本专利技术采用如下技术方案:
[0007]本专利技术一种基于积分梯度的图对抗攻击方法,采用如下步骤:
[0008]步骤一

对图对抗攻击中的数据集进行预处理,构建基于图神经网络的图对比学习无监督图表示学习模型;
[0009]步骤二

训练模型,在训练过程中根据正样本和负样本计算对比损失,反向传播对比损失,计算目标节点的积分梯度;
[0010]步骤三

根据积分梯度来选择在攻击过程中将要扰动的边,从而最大化损失函数,实现攻击

[0011]本专利技术步骤一中的构建模型具体采用:
[0012]鉴于语义特征及其图结构,采用多层感知器
MLP
输入表示语义信息生成锚点嵌入,并分别采用图卷积网络
GCN
和邻居采样方法生成正嵌入,然后对锚点嵌入采用行随机排列方法生成负嵌入,采用上界损失,以确保正嵌入与锚点嵌入之间的距离保持有限,减少类内的变化,使用多重损失,使同一类别内的节点在表示空间中更加接近,扩大类间的变化,使锚点嵌入接近正嵌入,远离负嵌入

[0013]本专利技术步骤二的具体内容如下:
[0014]使用全0或全1邻接矩阵来表示从1到0或从0到1的扰动,为了描述损失函数的总体变化模式,当删除一个边时,将邻接矩阵
A
设置为全0,相反,当添加一个特定边时,将邻接矩阵
A
设置为全1,其公式如下:
[0015][0016]公式中,
IG(L(X,A,t))[i,j]表示损失函数
L
关于邻接矩阵
A
在位置
(i,j)
处的积分梯度,
A
ij
是邻接矩阵
A
中的第
(i,j)
个元素,
k
是迭代的次数,表示损失函数
L
关于邻接矩阵
A
在位置
(i,j)
处的偏导数,
m
是一个参数,用于控制积分的步骤,
X
为图的特征矩阵,
A
为邻接矩阵,
L
为损失函数

[0017]本专利技术所述步骤三具体操作过程如下:
[0018]根据步骤二计算出目标节点的积分梯度,将目标节点的度
n
作为将要扰动的边的数目,选取积分梯度最大且方向正确的前
n
条边添加扰动,在此将扰动设置为翻转边,具体步骤如下:
[0019]步骤
301、
选择积分梯度最大的边
a
,邻接矩阵中此边的值若为1,则修改为0;若为0,则修改为1;
[0020]步骤
302、
判断此时扰动边的数目
m
,若
m<n
,则将边
a
的积分梯度设为0,返回执行步骤
301
,否则结束

[0021]本专利技术生成带有语义信息的锚点嵌入公式如下:
[0022]X
(l+1)

Dropout(
σ
(X
(l)
W
(l)
))
[0023]H

X
(l+1)
W
(l+1)
[0024]公式中,
X
(l+1)
表示第
l+1
层的节点表示,即经过一层操作后得到的新的节点表示,
X
(l)
表示第
l
层的节点表示,即当前层的节点表示,
σ
是一个激活函数,
W
(l)
是第
l
层的权重矩阵,
H
表示生成的锚点嵌入;
[0025]通过行打乱锚点嵌入获得负嵌入,公式如下:
[0026]H


Shuffle([h1,h2,...,h
N
])
[0027]公式中,
H

表示生成的负嵌入,
[h1,h2,...,h
N
]是锚点嵌入集合,
Shuffle([h1,h2,...,h
N
])
表示对锚点嵌入
h1,h2,...,h
N
进行行置换

[0028]本专利技术所述正嵌入包本文档来自技高网
...

【技术保护点】

【技术特征摘要】
1.
一种基于积分梯度的图对抗攻击方法,其特征在于,采用如下步骤:步骤一

对图对抗攻击中的数据集进行预处理,构建基于图神经网络的图对比学习无监督图表示学习模型;步骤二

训练模型,在训练过程中根据正样本和负样本计算对比损失,反向传播对比损失,计算目标节点的积分梯度;步骤三

根据积分梯度来选择在攻击过程中将要扰动的边,从而最大化损失函数,实现攻击
。2.
根据权利要求1所述的一种基于积分梯度的图对抗攻击方法,其特征在于,步骤一中的构建模型具体采用:鉴于语义特征及其图结构,采用多层感知器
MLP
输入表示语义信息生成锚点嵌入,并分别采用图卷积网络
GCN
和邻居采样方法生成正嵌入,然后对锚点嵌入采用行随机排列方法生成负嵌入,采用上界损失,以确保正嵌入与锚点嵌入之间的距离保持有限,减少类内的变化,使用多重损失,使同一类别内的节点在表示空间中更加接近,扩大类间的变化,使锚点嵌入接近正嵌入,远离负嵌入
。3.
根据权利要求1所述的一种基于积分梯度的图对抗攻击方法,其特征在于,步骤二的具体内容如下:使用全0或全1邻接矩阵来表示从1到0或从0到1的扰动,为了描述损失函数的总体变化模式,当删除一个边时,将邻接矩阵
A
设置为全0,相反,当添加一个特定边时,将邻接矩阵
A
设置为全1,其公式如下:公式中,
IG(L(X,A,t))[i,j]
表示损失函数
L
关于邻接矩阵
A
在位置
(i,j)
处的积分梯度,
Ai
j
是邻接矩阵
A
中的第
(i,j)
个元素,
k
是迭代的次数,表示损失函数
L
关于邻接矩阵
A
在位置
(i,j)
处的偏导数,
m
是一个参数,用于控制积分的步骤,
X
为图的特征矩阵,
A
为邻接矩阵,
L
为损失函数
。4.
根据权利要求2所述的一种基于积分梯度的图对抗攻击方法,其特征在于,所述步骤三具体操作过程如下:根据步骤二计算出目标节点的积分梯度,将目标节点的度
n
作为将要扰动的边的数目,选取积分梯度最大且方向正确的前
n
条边添加扰动,在此将扰动设置为翻转边,具体步骤如下:步骤
301、
选择积分梯度最大的边
a
,邻接矩阵中此边的值若为1,则修改为0;若为0,则修改为1;步骤
302、
判断此时扰动边的数目
m
,若
m<n
,则将边
a
的积分梯度设为0,返回执行步骤
301
,否则结束

5.
根据权利要求2所述的一种基于积分梯度的图对抗攻击方法,其特征在于,生成带有语义信息的锚点嵌入公式如下:
x
(l+1)

Dropout(
σ
(X
(l)
W
(l)
))H

X
(l+1)
W
(l+1)
公式中,
X
(l+1)
表示第
l+1
层的节点表示,即经过一层操作后得到的新的节点表示,
X
(l)
表示第
l
层的节点表示,即当前层的节点表示,
σ
是一个激活函数,
W
(l)
是第
l
层的权重矩阵,
H
表示生成的锚点嵌入;通过行打乱...

【专利技术属性】
技术研发人员:王方伟张祎玲王长广李青茹黄文艳
申请(专利权)人:河北师范大学
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1