[发明专利]一种用于文档分类的基于强化学习的通过添加虚假节点的图对抗样本生成方法

说明书

本发明公开了一种基于强化学习的通过添加虚假节点的图对抗样本生成方法，包括：(1)获取原图数以及图节点分类模型，构造训练集和测试集；向原图数据中添加虚假节点，得到初始的对抗样本；(2)构建攻击模型；(3)在训练集中选择攻击目标；(4)把当前的对抗样本和攻击目标输入攻击模型，选择评估值最大的节点，构造新的对抗样本；(5)将新的对抗样本输入分类模型，若分类结果为目标的结果，得到对抗样本并进行下一步，否则跳转步骤(4)；(6)对攻击模型进行训练，并使用训练好的攻击模型进行测试和应用。本发明通过添加虚假节点的方法来生成图的对抗样本，能够为设计出更加鲁棒的图深度学习模型提供帮助。

技术领域

本发明属于人工智能信息安全技术领域，尤其是涉及一种基于强化学习的通过添加虚假节点的图对抗样本生成方法。

背景技术

图论中的图是由若干给定的点及连接两点的线所构成的图形，这种图形通常用来描述某些事物之间的某种特定关系，用点代表事物，用连接两点的线表示相应两个事物间具有某种关系。图论中的图G是一个有序二元组(V,E)，其中V称为顶点集，即图中所有顶点组成的集合，E称为边集，即所有顶点之间的边组成的集合。简单的说，顶点表示事物，边表示事物之间的关系。另外对于属性图(Attributed Graph)可以表示为一个有序二元组(A,X)，其中A称为图的邻接矩阵，X表示图中节点特征的特征矩阵。

图作为一种重要且广泛使用的数据结构，已经被用于各种各样的实际应用场景中，例如社交网络中的扩散图，电子商务中的用户偏好图以及生物学中国的蛋白质结构图。图挖掘领域的主要研究包括图分类、图聚类、节点分类等。其中节点分类任务是图上最重要的任务之一。节点分类任务针对一个图数据，通过对图中已知类别的节点数据的学习来简历分类预测模型，实现对图中未知类别的节点进行分类。例如，在社交网络中的用户电影偏好预测就是一个典型的节点分类问题，在该问题中，可以用图的节点表示用户，边表示用户之间的关系，用户对电影的兴趣作为标签，通过节点分类方法进行预测可以推测目标人群的兴趣并向他们推荐相关电影。

图节点分类问题像大部分分类问题一样，可以通过各种深度神经网络模型来解决，其中图卷积网络(Graph Convolutional Networks,GCNs)是目前效果最好的方法，所以在本发明中使用图卷积网络(GCN)为例。然而许多深度神经网络模型已经被证明鲁棒性不强：通过对预测目标加上一个微小的扰动，能够使分类器的预测结果被误导，这种攻击方式被称为对抗攻击(Adversarial Attack)，攻击生成的样本被称为对抗样本(AdversarialSamples)。对抗攻击按攻击者对目标模型的了解程度可以分为白盒攻击和黑盒攻击。白盒攻击指攻击者对模型完全了解，包裹模型结构、所有参数等；黑盒攻击则不知道模型结构、参数，但能观察到模型的输出结果。对抗攻击按攻击者的意图又可以分为非指向性攻击(Non-targeted Attack)和指向性攻击(Targeted Attack)。非指向性攻击是指攻击者的目的是改变目标的分类结果，对于分类结果是哪一类没有要求；而指向性攻击的目标是使得目标的分类结果被划分到某个特定的类别中。在本发明中，已指向性攻击为例。

目前对抗攻击方面的研究大多数几种在图像领域，最主要的方法是通过梯度下降算法计算分类结果损失之于输入图像的梯度，进而计算添加的扰动。而在图数据领域，目前的研究都是通过添加或删除现有的边或节点特征来使得目标节点的分类结果被误导。但是这种方法在实际场景中可能很难实现，例如在社交网络中，想要删除或添加两个用户之间的边就可能需要得到这些用户的登录权限，但是这在实际情况中较难获得。

发明内容

针对现有技术的不足，本发明提出了一种基于强化学习的通过添加虚假节点的图对抗样本生成方法，通过强化学习方法将添加虚假节点生成对抗样本看作是机器和图节点分类模型环境交互的决策过程，机器通过不断地为虚假节点添加边和特征，收集模型分类结果信息，进而生成对抗样本。

本发明的技术方案如下：

一种基于强化学习的通过添加虚假节点的图对抗样本生成方法，包括：