[发明专利]针对图神经网络的黑盒逃逸图注入攻击方法

权利要求书

1.针对图神经网络的黑盒逃逸图注入攻击方法，其特征在于，包括如下步骤：

步骤一：获取代理图数据集G_sur，从众包平台渠道获取代理图数据集G_sur＝(V_sur,E_sur,X_sur,L_sur)，其中V_sur为节点集，表示图数据集G_sur中所有的节点，E_sur为边集，表示节点间存在的所有边，X_sur为节点集V_sur的所有特征拼接而得的特征矩阵，L_sur为节点集V_sur中每个节点所对应的标签组成的标签集；

步骤二：训练代理模型f_sur，选择一个有代表性的图神经网络模型作为代理模型f_sur，然后在代理数据集G_sur训练f_sur直到收敛；

步骤三：获取原始受害者图数据集G，根据攻击目标从众包平台渠道中获取原始受害者图数据集G＝(V,E,X,L)，其中V为节点集，表示图数据集G中所有的节点，E为边集，表示节点间存在的所有边，X为节点集V的所有特征拼接而得的特征矩阵，L为节点集V中每个节点所对应的标签组成的标签集，由于黑盒设定下无法获取原始受害者图数据集G中的标签集L，故L在初始状态时为空集；

步骤四：使用代理模型f_sur为原始受害者图数据集G生成标签集L，由于黑盒设定下无法获取原始受害者图数据集G中的标签集L，故需要使用已经收敛的代理模型f_sur预测原始受害者图数据集G中所有节点的标签，并将f_sur预测的标签作为标签集L；

步骤五：计算注入节点集V_inj的候选邻居节点集V_nei，根据原始受害者图数据集G中的拓扑结构和节点属性，计算节点的信息域(Information Domains,简称ID)和分类间隔(Classification Margin,简称CM)，根据ID和CM计算最终的节点对抗脆弱性(AdversaryFragility,简称AF)，选择G中对抗脆弱性较大的节点作为注入节点的候选邻居节点集V_nei；

步骤六：构建注入节点集V_inj中的节点与原始受害者图数据集G的拓扑连接，在确定候选集V_nei之后，基于V_nei中节点的噪声类别和注入节点的边攻击预算E_inj，进一步细粒度划分候选节点集V_nei，将相同噪声类的E_inj个节点划分为一个簇，每个簇视为一个注入节点的候选邻居集，为了增强注入节点的隐蔽性，候选邻居节点集V_nei中的节点只能作为一个注入节点的候选邻居；

步骤七：自适应优化注入节点的特征X_inj，运用CW损失优化注入节点的特征，并对优化后的注入节点特征进行限制，以保证注入节点特征不超出原始特征域的范围，注入节点的特征优化完成后，即得到包含注入节点的扰动图G_per；

步骤八：攻击受害者模型f_vit，在测试阶段且不改变受害者模型f_vit的模型参数的情况下，受害者模型f_vit将扰动图G_per作为输入并执行下游任务。