[发明专利]针对图神经网络的黑盒逃逸图注入攻击方法

说明书

本发明公开了一种针对图神经网络的黑盒逃逸图注入攻击方法，包括如下步骤：步骤一：获取代理图数据集G_sur；步骤二：训练代理模型f_sur；步骤三：获取原始受害者图数据集G；步骤四：使用代理模型f_sur为原始受害者图数据集G生成标签集L；步骤五：计算注入节点集V_inj的候选邻居节点集V_nei；步骤六：构建注入节点集V_inj中的节点与原始受害者图数据集G的拓扑连接；步骤七：自适应优化注入节点的特征X_inj；步骤八：攻击受害者模型f_vit。这种方法可以保证攻击性能与攻击隐蔽性，提高攻击者在图神经网络模型的节点分类任务上的攻击性能。

技术领域

本发明涉及深度学习技术领域，具体是针对图神经网络的黑盒逃逸图注入攻击方法。

背景技术

图是由节点及其连接关系组成的非欧氏数据结构，具有表示复杂耦合关系的能力。许多现实生活场景都可以用图结构来建模，比如社交平台，交通系统，推荐系统和财务风险评估系统等。深度学习模型具有很强的学习能力，并在自然语言处理和计算机视觉等领域得到了广泛研究，但是，由于图的特定非欧氏数据性质，传统的欧氏数据深度学习模型在处理图结构数据时表现不佳。因此，大量的工作都在致力于更好地开发图神经网络(Graph Neural Networks，简称GNNs)来有效地整合图数据的节点特征和拓扑结构信息，捕捉节点之间潜在的数据流。

尽管图神经网络已经取得了不错的进展，但它们很容易受到对抗性攻击的影响，即微小但精心设计的扰动可能导致图神经网络模型的性能大幅度下降。前人大量的工作致力于研究图修改攻击(Graph Modification Attacks，简称GMA)，试图通过在图中的现有节点或拓扑中添加小扰动来误导图神经网络模型的预测，例如在不同类型的节点之间添加恶意边，或者篡改部分节点属性等等。然而，在许多现实场景中，修改原始图中的数据往往需要极高的操作权限，因此越来越多的人开始关注更符合显示场景的图注入攻击(GraphInjection Attack，简称GIA)，即攻击者通过生成少量恶意节点并与原图中的节点建立连接来进行攻击。例如在社交网络中篡改已有用户的评论是需要较高权限的，而注册一个新的用户来发表恶意言论来引导舆论则相对简单。然而目前关于图注入攻击方法的研究仍处于初级阶段，攻击者通常难以同时兼顾攻击性能及其自身隐蔽性。

因此，需要针对图神经网络的黑盒逃逸图注入攻击方法，可以使得攻击者在测试阶段黑盒情况下根据图数据的拓扑和节点特征有针对性地注入恶意节点，同时在优化恶意节点特征的同时提高其隐蔽性，从而兼顾攻击者的破坏性与隐蔽性，提高攻击者在图神经网络模型的节点分类任务上的攻击性能。

发明内容

本发明的目的是针对现有黑盒逃逸图注入攻击技术无法兼顾攻击者的破坏性与隐蔽性的不足，提供针对图神经网络的黑盒逃逸图注入攻击方法，这种方法可以保证攻击性能与攻击隐蔽性，提高攻击者在图神经网络模型的节点分类任务上的攻击性能。

实现本发明目的的技术方案是：

针对图神经网络的黑盒逃逸图注入攻击方法，包括如下步骤：

步骤一：获取代理图数据集G_sur，从众包平台渠道获取代理图数据集G_sur＝(V_sur，E_sur，X_sur，L_sur)，其中V_sur为节点集，表示图数据集G_sur中所有的节点，E_sur为边集，表示节点间存在的所有边，X_sur为节点集V_sur的所有特征拼接而得的特征矩阵，L_sur为节点集V_sur中每个节点所对应的标签组成的标签集；